2023年12 月15日

警惕“圣誕禮物”RedLine間諜木馬攻擊

緊急程度：★★★☆☆

影響平臺：Windows

尊敬的用戶：

您好！

RedLine是一款商業(yè)間諜木馬，首次出現于2020年3月。其以惡意軟件即服務（MaaS）的商業(yè)模式獲利。該木馬除了具有極高的隱蔽性、成熟的商業(yè)化模式以及竊取的數據價值高等特點外，還不斷尋求更復雜的技術手段、更具針對性的攻擊。因此，其已發(fā)展為危害網絡數據資產的主要威脅之一。

RedLine通常是通過釣魚郵件或掛馬網站進行傳播。釣魚郵件更多的是利用社會工程學，“蹭熱點”、節(jié)日祝福和節(jié)日福利是攻擊者經常使用的社工手法。圣誕節(jié)將近，RedLine木馬就使用了主題為“圣誕禮物”的釣魚郵件發(fā)動攻擊，其主要目的是竊取用戶的瀏覽器、應用程序、加密貨幣錢包等敏感信息。為保護數據資產安全，建議用戶提高警惕，預防間諜木馬攻擊。

【RedLine木馬釣魚攻擊樣例】

病毒詳細分析

該木馬運行后會釋放winlogon.exe和svchost.exe兩個惡意文件，其中winlogon.exe主要功能是竊密，svchost.exe則是設置木馬自啟動并收集環(huán)境信息。本文將對這兩個惡意文件進行詳細分析。

【RedLine木馬攻擊流程】

該木馬使用.NET編寫，在運行時會釋放C:\Users\用戶名\AppData\Roaming\winlogon.exe文件并執(zhí)行，實現竊密主體行為并進行C2通信。

釋放并執(zhí)行偽裝文件NetFlix Checker by xRisky v2.exe。

釋放并執(zhí)行文件C:\Users\用戶名\AppData\Roaming\svchost.exe，實現自啟動以及主機信息查詢功能。

winlogon.exe分析

釋放的winlogon.exe是經過Eazfuscator混淆的.NET程序，負責竊取如下幾類隱私數據。

l  竊取瀏覽器信息

收集終端安裝的瀏覽器信息，并通過注冊表鍵值StartMenuInternet獲取系統默認瀏覽器：

從Chrome和Opera瀏覽器竊取自動填充的數據，包括登錄數據和地理位置等信息：

竊取瀏覽器cookie：

竊取賬戶信息：

竊取瀏覽器自動填充數據：

竊取信用卡信息：

通過插件Geoplugin獲取終端所在位置：

當收集到終端信息時，會將信息以列表的方式進行存儲：

l  竊取加密錢包

該木馬在%APPData%目錄中收集Armoury.wallet文件：

使用相同手法竊取Atomic、Coinomi、Electrum、Guarda錢包信息：

竊取Exodus錢包信息：

l  收集系統信息

該木馬除了收集上述提到的終端所在地區(qū)信息外，還收集系統信息，包括主機環(huán)境信息、IP、國家、郵政編碼以及文件信息等。

其除了通過select命令檢索會話 ID、名稱和命令行外，還會通過select命令查詢主機中的進程、磁盤驅動等信息。

通過注冊表SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion的ProductName和CSDVersion鍵值獲取主機系統版本信息。

除此之外，其還會竊取如doc、dll、txt等常見文件格式的文件：

該木馬還從%AppData%目錄的\\FileZilla\\sitemanager.xml文件中提取帳戶詳細信息：

通過GetDirectories()以及GetFiles()函數獲取到Program Files(x86)和ProgramData目錄下的文件內容：

該木馬將竊取到的信息通過HTTP協議發(fā)送到其C2服務器（C2域名被硬編碼在木馬樣本中）。

svchost.exe文件分析

通過設置計劃任務實現自啟動功能:/c schtasks /create /f /sc onlogon /rl highest /tn

通過設置注冊表鍵值實現自啟動功能：

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\chrome

"C:\Users\用戶名\AppData\Roaming\chrome.exe"

該木馬遍歷系統進程查詢ProcessHacker.exe、procexp.exe、ConfigSecurityPolicy.exe等安全工具類進程，為后續(xù)入侵做準備。

亞信安全產品解決方案
 

ü  亞信安全高級威脅郵件防護系統（DDEI）可以有效檢測RedLine釣魚郵件，在源頭上阻止釣魚郵件攻擊，防止數據泄露。

ü  亞信安全傳統病毒碼版本18.871.60，云病毒碼版本18.871.71，全球碼版本18.871.00已經可以檢測該間諜木馬，請用戶及時升級病毒碼版本：

ü  亞信安全夢蝶防病毒引擎可檢測該間諜木馬，可檢測的病毒碼版本為1.6.0.186：

ü  亞信安全DDAN沙盒平臺已經可以檢測該木馬：

安全建議

ü  全面部署安全產品，保持相關組件及時更新；

ü  保持系統以及常見軟件更新，對高危漏洞及時修補。

ü  不要點擊來源不明的郵件、附件以及郵件中包含的鏈接；

ü  請到正規(guī)網站下載程序；

ü  采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼；

ü  盡量關閉不必要的端口及網絡共享。

IOC

SHA1：

e733716554cf9edf2a5343aef0e93c95b7fa7cd4

ccee276337037c0dbe9d83d96eefb360c5655a03

5b7ca520b0eb78ab36fa5a9f87d823f46bfc5877

003062c65bda7a8bc6400fb0d9feee146531c812

C2：

siyatermi[.]duckdns[.]org