通过视频网站传播的RedLine窃密木马分析
近日,安天CERT监测到一起通过视频网站YouTube传播RedLine窃密木马的攻击活动。RedLine窃密木马最早在2020年3月被发现,是流行的窃密木马家族之一。攻击者以公共视频平台为依托,形成了“发布视频->窃取账号->用窃取到的账号进一步传播”的攻击闭环。安天智甲终端防御系统可实现对该窃密木马的查杀与有效防护。本篇文章3434字,预计8分钟读完。
具体ATT&CK技术行为描述表如下:
ATT&CK阶段/类别 | 具体行为 | 注释 |
资源开发 | 入侵账户 | 窃取账户发布视频 |
资源开发 | 环境整备 | 上传恶意代码到网盘 |
初始访问 | 网络钓鱼 | 伪造热点话题诱导用户下载 |
执行 | 诱导用户执行 | 诱导用户执行 |
防御规避 | 反混淆/解码文件或信息 | 解密攻击载荷 |
防御规避 | 隐藏行为 | 隐藏自身窗口 |
防御规避 | 混淆文件或信息 | 对攻击载荷进行加密及混淆 |
防御规避 | 进程注入 | 通过注入执行攻击载荷 |
防御规避 | 虚拟化/沙箱逃逸 | 检测到虚拟化/沙箱环境后改变自身行为 |
凭证访问 | 从存储密码的位置获取凭证 | 窃取浏览器凭证 |
发现 | 发现文件和目录 | 发现文件和目录 |
发现 | 发现进程 | 发现进程列表 |
发现 | 发现软件 | 发现软件列表 |
发现 | 发现系统信息 | 发现系统硬件配置等 |
发现 | 发现系统地理位置 | 发现系统语言区域 |
发现 | 发现系统所有者/用户 | 发现系统用户 |
发现 | 发现系统服务 | 发现系统服务 |
发现 | 虚拟化/沙箱逃逸 | 检测虚拟化/沙箱环境 |
收集 | 自动收集 | 自动收集信息 |
收集 | 获取屏幕截图 | 获取屏幕截图 |
命令与控制 | 使用应用层协议 | 使用应用层协议进行C2通信 |
数据渗出 | 自动渗出数据 | 自动回传数据 |
数据渗出 | 限制传输数据大小 | 限制搜集文件大小 |
数据渗出 | 使用C2信道回传 | 使用与C2相同的信道回传 |
(1)安装终端防护:安装反病毒软件,建议安装安天智甲终端防御系统;
(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
(3)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁;
(4)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
(5)安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。
图3‑1 安天智甲有效防护
4.1 攻击流程图
本次攻击的整体流程如下图所示。
图4‑1 攻击的整体流程图
4.2 具体攻击流程
攻击者上传大量钓鱼视频,诱导受害者主动下载并执行恶意文件,以下为某钓鱼视频的页面。
下载地址通常为短链接,会跳转到网盘、社交网站的附件下载链接等,使用的均为合法公共网站,并对压缩包设置密码,以此躲避自动化检测。目前发现被攻击者使用的网站有Mega云盘、MediaFire云盘、Discord聊天软件等,均为用户量较大的知名网站。以下为Mega云盘中下载某恶意程序的页面。
攻击者使用窃取到的账号继续上传钓鱼视频,进一步扩大传播范围。
图4‑4 用于上传视频的账号
同时使用这些账号在曾发布过的其他恶意视频下发表诱导性评论。
图4‑5 攻击者发布的诱导性评论
本次针对某个以游戏外挂为主题的视频下的RedLine窃密木马样本进行分析。
表5‑1 样本标签
病毒名称 | Trojan/Win32.RedLine |
原始文件名 | Ghostmod-.exe |
MD5 | 2345C226577DE700A9158518531BAF1D |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 631.41 KB (646560字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2071-06-02 03:47:48(伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft C# |
VT首次上传时间 | 2021-11-02 05:14:15 |
VT检测结果 | 39/68 |
5.2 加载器
图5‑4 创建进程并注入
5.3 防御规避
图5‑5 检查环境
5.4 下载其他恶意程序
图5‑6 下载并执行恶意代码
5.5 获取配置信息
样本使用C#语言中的ChannelFactory与C2进行网络通信,C2地址为54.38.9.216:9487。
连接至C2获取配置信息,包括功能开关、自定义文件窃密规则等。
图5‑8 收到的服务端配置信息
5.6 窃取数据
收集设备硬件配置信息,包括CPU、显卡、内存等。
窃取浏览器保存的密码、Cookie、自动填充、信用卡信息。
搜索配置信息中文件窃密规则指定格式的文件,文件累计大小不超过50MB。
图5‑11 搜索指定文件
5.7 回传数据
将窃取到的数据通过C2回传。
图5‑12 回传数据
IoCs |
2345C226577DE700A9158518531BAF1D |
54.38.9[.]216:9487 |
https[:]//www.youtube.com/watch?v=qynW-qzM0T0 |
https[:]//mega.nz/file/IF9x0Q7C#xSLk2l7YqZx4zuX67ruHkpUfNrzAP84AD1AymUSBsps |
http[:]//94.250.255.5/verify.php?id=10_0be0771476b1ca2fa702aa496ec96812 |