警惕“聖誕禮物(wù)”RedLine間諜木(mù)馬攻擊
2023-12-18 364
2023年12 月15日
警惕“聖誕禮物(wù)”RedLine間諜木(mù)馬攻擊
緊急程度:★★★☆☆ 影響平台:Windows
尊敬的用(yòng)戶: 您好!
RedLine是一款商(shāng)業間諜木(mù)馬,首次出現于2020年3月。其以惡意軟件即服務(wù)(MaaS)的商(shāng)業模式獲利。該木(mù)馬除了具(jù)有(yǒu)極高的隐蔽性、成熟的商(shāng)業化模式以及竊取的數據價值高等特點外,還不斷尋求更複雜的技(jì )術手段、更具(jù)針對性的攻擊。因此,其已發展為(wèi)危害網絡數據資産(chǎn)的主要威脅之一。
RedLine通常是通過釣魚郵件或挂馬網站進行傳播。釣魚郵件更多(duō)的是利用(yòng)社會工(gōng)程學(xué),“蹭熱點”、節日祝福和節日福利是攻擊者經常使用(yòng)的社工(gōng)手法。聖誕節将近,RedLine木(mù)馬就使用(yòng)了主題為(wèi)“聖誕禮物(wù)”的釣魚郵件發動攻擊,其主要目的是竊取用(yòng)戶的浏覽器、應用(yòng)程序、加密貨币錢包等敏感信息。為(wèi)保護數據資産(chǎn)安(ān)全,建議用(yòng)戶提高警惕,預防間諜木(mù)馬攻擊。
【RedLine木(mù)馬釣魚攻擊樣例】
病毒詳細分(fēn)析 該木(mù)馬運行後會釋放winlogon.exe和svchost.exe兩個惡意文(wén)件,其中(zhōng)winlogon.exe主要功能(néng)是竊密,svchost.exe則是設置木(mù)馬自啓動并收集環境信息。本文(wén)将對這兩個惡意文(wén)件進行詳細分(fēn)析。
【RedLine木(mù)馬攻擊流程】
該木(mù)馬使用(yòng).NET編寫,在運行時會釋放C:\Users\用(yòng)戶名(míng)\AppData\Roaming\winlogon.exe文(wén)件并執行,實現竊密主體(tǐ)行為(wèi)并進行C2通信。
釋放并執行僞裝(zhuāng)文(wén)件NetFlix Checker by xRisky v2.exe。
釋放并執行文(wén)件C:\Users\用(yòng)戶名(míng)\AppData\Roaming\svchost.exe,實現自啓動以及主機信息查詢功能(néng)。
winlogon.exe分(fēn)析 釋放的winlogon.exe是經過Eazfuscator混淆的.NET程序,負責竊取如下幾類隐私數據。
l 竊取浏覽器信息 收集終端安(ān)裝(zhuāng)的浏覽器信息,并通過注冊表鍵值StartMenuInternet獲取系統默認浏覽器:
從Chrome和Opera浏覽器竊取自動填充的數據,包括登錄數據和地理(lǐ)位置等信息:
竊取浏覽器cookie:
竊取賬戶信息:
竊取浏覽器自動填充數據:
竊取信用(yòng)卡信息:
通過插件Geoplugin獲取終端所在位置:
當收集到終端信息時,會将信息以列表的方式進行存儲:
l 竊取加密錢包 該木(mù)馬在%APPData%目錄中(zhōng)收集Armoury.wallet文(wén)件:
使用(yòng)相同手法竊取Atomic、Coinomi、Electrum、Guarda錢包信息:
竊取Exodus錢包信息:
l 收集系統信息 該木(mù)馬除了收集上述提到的終端所在地區(qū)信息外,還收集系統信息,包括主機環境信息、IP、國(guó)家、郵政編碼以及文(wén)件信息等。
其除了通過select命令檢索會話 ID、名(míng)稱和命令行外,還會通過select命令查詢主機中(zhōng)的進程、磁盤驅動等信息。
通過注冊表SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion的ProductName和CSDVersion鍵值獲取主機系統版本信息。
除此之外,其還會竊取如doc、dll、txt等常見文(wén)件格式的文(wén)件:
該木(mù)馬還從%AppData%目錄的\\FileZilla\\sitemanager.xml文(wén)件中(zhōng)提取帳戶詳細信息:
通過GetDirectories()以及GetFiles()函數獲取到Program Files(x86)和ProgramData目錄下的文(wén)件内容:
該木(mù)馬将竊取到的信息通過HTTP協議發送到其C2服務(wù)器(C2域名(míng)被硬編碼在木(mù)馬樣本中(zhōng))。
svchost.exe文(wén)件分(fēn)析 通過設置計劃任務(wù)實現自啓動功能(néng):/c schtasks /create /f /sc onlogon /rl highest /tn
通過設置注冊表鍵值實現自啓動功能(néng): SOFTWARE\Microsoft\Windows\CurrentVersion\Run\chrome "C:\Users\用(yòng)戶名(míng)\AppData\Roaming\chrome.exe"
該木(mù)馬遍曆系統進程查詢ProcessHacker.exe、procexp.exe、ConfigSecurityPolicy.exe等安(ān)全工(gōng)具(jù)類進程,為(wèi)後續入侵做準備。
亞信安(ān)全産(chǎn)品解決方案 ü 亞信安(ān)全高級威脅郵件防護系統(DDEI)可(kě)以有(yǒu)效檢測RedLine釣魚郵件,在源頭上阻止釣魚郵件攻擊,防止數據洩露。
ü 亞信安(ān)全傳統病毒碼版本18.871.60,雲病毒碼版本18.871.71,全球碼版本18.871.00已經可(kě)以檢測該間諜木(mù)馬,請用(yòng)戶及時升級病毒碼版本:
ü 亞信安(ān)全夢蝶防病毒引擎可(kě)檢測該間諜木(mù)馬,可(kě)檢測的病毒碼版本為(wèi)1.6.0.186:
ü 亞信安(ān)全DDAN沙盒平台已經可(kě)以檢測該木(mù)馬:
安(ān)全建議
ü 全面部署安(ān)全産(chǎn)品,保持相關組件及時更新(xīn); ü 保持系統以及常見軟件更新(xīn),對高危漏洞及時修補。 ü 不要點擊來源不明的郵件、附件以及郵件中(zhōng)包含的鏈接; ü 請到正規網站下載程序; ü 采用(yòng)高強度的密碼,避免使用(yòng)弱口令密碼,并定期更換密碼; ü 盡量關閉不必要的端口及網絡共享。
IOC
SHA1: e733716554cf9edf2a5343aef0e93c95b7fa7cd4 ccee276337037c0dbe9d83d96eefb360c5655a03 5b7ca520b0eb78ab36fa5a9f87d823f46bfc5877 003062c65bda7a8bc6400fb0d9feee146531c812
C2: siyatermi[.]duckdns[.]org |