RedLine 是一種竊密惡意軟件����,以惡意軟件即服務(wù)(MaaS)的商業(yè)模式獲利。RedLine 主要針對(duì) Windows 用戶發(fā)起攻擊�����,收集 Web 瀏覽器和 FTP 應(yīng)用程序的登陸憑據(jù)�、加密錢包信息�、信用卡信息��、Discord 等即時(shí)通訊服務(wù)的登錄信息等����。
2020 年年初,RedLine 在各種犯罪論壇中頻繁出現(xiàn)��。訂閱制每個(gè)月需要 150 美元���,終身買斷制需要 800 美元�����。RedLine 的 Telegram 頻道也可以購(gòu)買比特幣支付購(gòu)買費(fèi)用����,還會(huì)贈(zèng)送給付費(fèi)用戶一個(gè)免費(fèi)的加殼程序�����,用戶可以自行加殼對(duì)抗檢測(cè)�。
兜售廣告
在 RedLine 的 Telegram 頻道中����,可以看到版本更新通知���。例如攻擊者在 2021 年 11 月的第一周發(fā)布了版本號(hào)為 22.3 的新版本,這也說(shuō)明 RedLine 的開(kāi)發(fā)者致力于不斷改進(jìn)功能保持活躍�����。
版本更新信息
近期��,RedLine 的破解版在幾個(gè)犯罪論壇上被披露����。我們可以從一個(gè)攻擊者的角度來(lái)查看 RedLine 的功能和易用性,攻擊者還附帶了安裝說(shuō)明的文檔�。
泄露信息
RedLine 的 C&C 面板如下所示,登錄的用戶名和密碼在訂閱時(shí)一起發(fā)送給用戶��,RedLine 的 C&C 面板不是傳統(tǒng)上的 Web 面板�。
C&C 面板
登錄可以在界面上看見(jiàn)以下功能:
失陷主機(jī)的日志
排序和搜索日志
將特定國(guó)家/地區(qū)/IP 列入黑名單
在失陷主機(jī)上加載任務(wù)
選擇要竊取的數(shù)據(jù)
RedLine 控制界面
如下所示,憑據(jù)校驗(yàn)是通過(guò) SOAP over HTTP POST 請(qǐng)求確認(rèn)的��。請(qǐng)求中包含編碼后的登錄信息和訂閱信息����,由惡意軟件開(kāi)發(fā)者的身份驗(yàn)證服務(wù)器進(jìn)行確認(rèn)����。
登錄請(qǐng)求
C&C 面板讀取某些文本文件作為配置文件�,并將其轉(zhuǎn)發(fā)到 RedLine 的客戶端。chromeBrowsers.txt和 geckoBrowsers.txt中包含目標(biāo)瀏覽器列表����。
配置文件
Panel.exe.config中包含配置信息,如會(huì)話劫持的目標(biāo)域名��、目標(biāo)文件路徑的正則表達(dá)式����。
配置文件
使用 serviceSettings.json來(lái)存儲(chǔ)用于 C&C 通信的端口號(hào),telegramChatsSettings.json存儲(chǔ)有關(guān)發(fā)送新失陷主機(jī)詳細(xì)信息的 Telegram 機(jī)器人�����。
RedLine 帶有硬編碼的 C&C 服務(wù)器 IP 地址和端口�,以及唯一的 BuildID。
硬編碼 C&C 地址
名為 IRemoteEndpoint的接口負(fù)責(zé)維護(hù) RedLine 的 C&C 通信��。
接口代碼
RedLine 在執(zhí)行后會(huì)立刻使用 RequestConnection()和 TryGetConnection()連接 C&C 服務(wù)器�����,前者會(huì)建立與 C&C 服務(wù)器的信道����,后者會(huì)通過(guò) HTTP POST 發(fā)送一個(gè) SOAP 請(qǐng)求。
請(qǐng)求代碼
請(qǐng)求信息
RedLine 從 C&C 服務(wù)器獲取指令時(shí)�����,會(huì)調(diào)用 TryGetArgs()通過(guò) HTTP POST 向服務(wù)器發(fā)送 SOAP 請(qǐng)求�����。
部分代碼
C&C 服務(wù)器使用 chromeBrowser.txt�����、geckBrowser.txt等文件的內(nèi)容作為響應(yīng)返回�����。
響應(yīng)信息
RedLine 再通過(guò)另一個(gè) HTTP POST 請(qǐng)求回傳從失陷主機(jī)收集的數(shù)據(jù)��。
竊取數(shù)據(jù)的網(wǎng)絡(luò)流量
進(jìn)一步���,RedLine 也可以再執(zhí)行 C&C 服務(wù)器下發(fā)的其他指令��。
RedLine 基于正則表達(dá)式定制竊密目標(biāo)�。與所有典型的竊密惡意軟件一樣,它會(huì)收集失陷主機(jī)的相關(guān)信息�,如 IP 地址、運(yùn)行進(jìn)程���、處理器信息等���。
GeoHelper類通過(guò) ip-api.com獲取失陷主機(jī) IP 的詳細(xì)信息。
網(wǎng)絡(luò)信息相關(guān)代碼
相似的���,SystemInfoHelper類獲取失陷主機(jī)的詳細(xì)信息�,如處理器類型�、顯卡類型、防火墻和進(jìn)程信息��。
系統(tǒng)信息相關(guān)代碼
RedLine 還會(huì)檢測(cè)實(shí)現(xiàn)主機(jī)上是否存在任何加密貨幣錢包����,在文件系統(tǒng)上檢索以 wallet為結(jié)尾的文件。
加密貨幣信息相關(guān)代碼
針對(duì) Metamask����、Armory���、Coinomi、Guarda 和 Exodus 的加密貨幣錢包有一些特殊的操作�����。
RedLine 還會(huì)收集場(chǎng)景 V-P-N 客戶端(如 NordV-P-N�����、OpenV-P-N 和 ProtonV-P-N)的相關(guān)信息����。
V-P-N 信息相關(guān)代碼
如前所述����,RedLine 還能夠提取瀏覽器的用戶名和密碼。包括 Cookie�、信用卡信息和自動(dòng)填充數(shù)據(jù)。相關(guān)實(shí)現(xiàn)在 ScannedBrowser類中:
瀏覽器信息相關(guān)代碼
在 C_h_r_o_m_e類中����,通過(guò) FileCopier類中的方法來(lái)填充 ScannedBrowser類中的數(shù)據(jù)。C_h_r_o_m_e類用于掃描密碼并解密 base64 編碼的密碼。
竊取瀏覽器信息
RedLine 針對(duì) FTP 客戶端也要竊密����,由 FileZilla類實(shí)現(xiàn),該類會(huì)掃描 FileZilla 文件夾下的文件����,并調(diào)用 ScanCredentials函數(shù)提取登錄信息。
竊取 FTP 信息
RedLine 還會(huì)竊取即時(shí)通訊服務(wù)(如 Discord)和游戲服務(wù)(如 Steam)的憑據(jù)�����。GameLauncherRule類通過(guò)注冊(cè)表檢查失陷主機(jī)是否安裝了 Steam 再獲取包含用戶數(shù)據(jù)的 SSFN 文件����。
檢查環(huán)境信息
RedLine 作為惡意軟件即服務(wù)(MaaS)的提供商,將網(wǎng)絡(luò)犯罪帶給了更多普通水平的攻擊者��。隨著破解版的披露���,RedLine 也將會(huì)越來(lái)越受歡迎���。
IOC
b160ce13f27f1e016b7bfc7a015f686b
a2f6561c95f5fff9775ed41fdb105b03
FC39A6ED-50506F88EAF39130CE4DEB7C
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
