网宿安全演武实验室近期捕获了RedLine Stealer恶意窃密木马。RedLine Stealer,首次于2020年3月出现,是一款主要针对Windows用户的恶意软件,其主要目标是窃取受害者的个人数据和信息。从各类途径(包括破解游戏、应用程序和服务)的传播使其成为了一个持续的网络安全威胁。
此恶意软件的功能主要在于从多种客户端程序中窃取登录凭据,包括网络浏览器、FTP客户端、电子邮件应用、Steam、即时消息客户端以及科学客户端。其对于FileZilla、Discord、Steam、Telegram和科学客户端数据的窃取功能尤为显著。除此之外,RedLine Stealer还能够窃取储存在浏览器中的身份验证cookie、信用卡信息、聊天记录、本地文件以及加密货币钱包。RedLine Stealer还具备系统信息收集的能力,能获取受害者系统的细节,例如IP地址、所在城市和国家、当前用户名、操作系统版本、UAC设置、管理员权限、用户代理,以及关于受感染PC的硬件和显卡的详细信息。该软件甚至还能检测系统中已安装的防病毒软件。
除了信息收集之外,RedLine Stealer还充当恶意软件加载器的角色,可用于部署其他类型的恶意软件,例如勒索软件,这进一步增加了其对网络安全的威胁。此软件会将收集的数据转换为XML格式,然后利用多种防御逃避技术传输至控制 服务器 (C2服务器)。C2服务器是恶意软件的远程控制中心,用于接收窃取的数据和发送控制命令。
值得关注的是,RedLine Stealer运用了恶意软件即服务(MaaS)的商业模式,这种模式在黑客社区中较为常见。在犯罪论坛中,RedLine Stealer的价格定为150美元/月,或者一次性支付900美元购买终身使用权。其开发者还在Telegram频道上销售此软件,接受比特币支付。购买者还可获得一款免费的加壳程序,用以规避安全软件的检测。
作者最近一次更新于2023年6月份,可以看到该软件一直在持续不断的更新中。同时,Github中有该软件早期的泄露版本。
RedLine Stealer有多种感染方式,包括电子邮件附件、恶意链接、软件漏洞、社交工程等。它的出现警示我们,网络安全不可忽视,一定要随时更新防病毒软件,提高警惕,尽可能地防止此类恶意软件的入侵。
样本概要:
执行恶意文件后,它会向C2请求配置,并根据配置进行信息收集的任务下发。在收集完数据后,将结果格式化发送至C2。
样本执行流程如下图:
恶意行为分析
C2(命令与控制)通信尝试连接到单个服务器,解密后可以得到该服务器的地址是188.124.36.242,端口是25802。
RedLine Stealer 使用 .Net SOAP API,采用简单的 TCP 绑定。这转化为一个加密的、非 HTTP 通信通道。请求包含授权信息,并且不检查证书有效性。
在建立通信后,RedLine Stealer可以根据 SOAP 响应启用/禁用某些功能。例如,通过在ScanWallets字段中指定一个 false 值,恶意软件不会扫描系统中的加密钱包,为了不花很多时间,它会跳过受害者机器上不存在的内容。
Redline Stealer会将首先扫描基本数据情况,并将结果保存在名为 ScanResult 的结构中,随后发送至C2服务器。
基础信息扫描可以先对一些情况进行确认,例如,若是俄语区的主机则结束操作并退出程序。
图8 用户判断(地理及编码判断)
后续有个ScanDetails功能,它收集有关失陷主机详细的数据,例如防病毒软件、已安装输入语言列表、已安装程序列表、运行进程列表以及FTP连接等,如下所示:
该恶意软件使用 WMI(Windows Management Instrumentation)进行主机信息的收集,例如枚举任何已安装的安全解决方案。这个恶意软件枚举所有已安装的安全解决方案。它可以连接root\\SecurityCenter或ROOT\\SecurityCenter2命名空间调用SELECT * FROM AntiVirusProduct获取任何防病毒、防间谍软件和防火墙(第三方)软件。
该恶意软件窃取加密货币钱包,凭借先进的黑客技术和隐秘操作的强大组合,RedLine窃取加密钱包对数字货币生态系统的安全性和稳定性构成严重威胁,RedLine 瞄准了许多钱包,如Armory、Atomic、BinanceChain、Electrum、Exodus、Ethereum、Monero、Jaxx、Guarda等。
ATT&CK映射图谱
总结
RedLine,它因窃取数据类型多、操作便捷且售价低,得以广泛传播。RedLine的野生样本已超过10万个,使其在2022年成为最活跃的窃密木马家族。据统计,RedLine在2022年的窃密木马中占比15.42%。
为了应对像RedLine这样日益活跃的窃密木马攻击,我们需要更加深入地理解其工作机制和防护策略。窃密木马通过向目标用户的计算机或设备植入恶意软件,以窃取敏感数据和信息。攻击者通常使用诱骗手段,如社交工程、钓鱼邮件等,将木马软件伪装成正常文件或链接,诱使用户下载或执行。
根据网络安全公司CyberArk的报告,2023年第一季度全球共发现4.378亿个窃密木马样本,较上一季度增长了98%。这说明攻击者正在不断更新木马软件,使其更难被发现和防御,窃密木马攻击的威胁正在持续升级。
这些窃密木马攻击可分为两类:广泛传播型攻击和定向攻击。广泛传播型攻击主要依赖于大量传播恶意软件,意图感染尽可能多的设备。定向攻击则针对特定目标,攻击者会深入研究目标的行为和习惯,利用更高级的技术进行攻击,以实现长期持续的信息窃取。
为了有效防御这些窃密木马攻击,传统的防火墙、杀毒软件等安全措施已经不再充分。针对定向攻击和日益复杂的攻击手段,企业和个人需要采取更为全面和主动的防护策略。零信任防护方案是一种应对此类威胁的有效方法。这种方案要求在访问任何系统资源之前,都必须先进行身份验证和权限确认,从而大大降低了窃密木马攻击的成功率。
零信任防护遵循最小权限原则,全面验证用户、设备和应用程序的身份,结合行为分析和动态访问权限管理,实现实时威胁检测和防护。在零信任模型下,即使攻击者成功植入窃密木马,其窃取信息的能力也会受到严格限制。通过不断学习和适应新的威胁,零信任防护方案有助于企业和个人更有效地应对日益严重的窃密木马攻击。网宿安全产品SecureLink提供全套零信任防护方案,可以帮助企业从整体安全体系的角度解决窃密攻击带来的问题。该产品具有以下核心特点和功能:
MD5: 74200bd872e0b3d75b1d85332c3be083
C2: 188.124.36.242:25802
全合成机油里面有没有矿物油的成分。
机油的成分之后,肯定有的全合成的技术要,好一点,加了添加剂不一样
cs go p2000 什么皮肤好看
二西莫夫系列:Tec-9Issac , AwpAsiimov , M4A4Asiimov , P250Asiimov , P90Asiimov红线系列:AK-47Redline , AwpRedline地下水系列:Tec-9Groundwater , Glock-18Groundwater , MP7Groundwater血虎系列:M4A1-SBloodtiger , Usp-SBloodtiger次时代系列:M4A1-SCyrex , Usp-SCyrex , Sg553Cyrex , Scar-20Cyrex守护者系列:M4A1-SGuardian , Usp-SGuardian淬火系列:AK-47Case Hardened , Five-SeveNCase Hardened ,★ KnivesCase Hardened暴风呼啸系列:MAG-7Storm , AUGStorm , MP9Storm , Scar-20Storm , P90Storm沙丘之黄系列:P250Sand Dune , NOVASand Dune , SSG 08Sand Dune , Glock-18Sand Dune , MAG-7Sand Dune暴怒野兽系列:AwpHyper Beast , NOVAHyper Beast , M4A1-SHyper Beast , Five-SeveNHyper Beast狩猎网格系列:AK-47Safari Mesh , AwpSafari Mesh , G3SG1Safari Mesh ,★ KnivesSafari Mesh澄澈之水系列:M4A1-SBright Water , ★ KnivesBright Water精英之作系列:AK-47Elite Build , P90Elite Build , AwpElite Build古董枪系列:NOVAAntique , PP-BizonAntique珊瑚树系列:AWPCorticera , P2000Corticera层压板系列:AK-47Blue Laminate , AK-47Red Laminate , AK-47Black Laminate大名系列:M4A4Evil Daimyo , Five-SeveNViolent Daimyo蓝图系列:USP-SBlueprint , Scar-20Blueprint血腥运动系列:AK-47Bloodsport , SCAR-20Bloodsport烈焰系列:Desert EagleBlaze , UMP-45Blaze , Desert EagleOxide Blaze深蓝电镀系列:SG 553Anodized Navy , MP7Anodized Navy , Dual BerettasAnodized Navy , AUGAnodized Navy , NegevAnodized Navy力矩系列:AUGTorque , USP-STorque荒野反叛系列:AK-47Wasteland Rebel , Glock-18Wasteland Rebel氮化处理系列:M4A1-SNitro , Five-SeveNNitro渐变系列:MAC-10Fade , R8 RevolverFade , ★ KnivesFade , MAC-10Amber Fade , R8 RevolverAmber Fade , SSG 08Acid Fade卡特尔系列:AK-47Cartel , P250Cartel无畏战神系列:AWPMan-o;-war , NegevMan-o;-war苹果系列:G3SG1Green Apple , NovaCandy Apple , MAC-10Candy Apple , NovaGreen Apple , Glock-18Candy Apple , Five-SeveNCandy Apple军队之辉系列:CZ75-AutoArmy Sheen , SG 553Army Sheen , NegevArmy Sheen , SCAR-20Army Sheen数字迷彩系列:AWPPink DDPAT , Desert EagleUrban DDPAT , Galil AROrange DDPAT , M249Jungle DDPAT , M4A4Urban DDPAT , MAC-10Urban DDPAT , MAG-7Metallic DDPAT , MP7Forest DDPAT , P250Metallic DDPAT , Sawed-OffForest DDPAT , Sawed-OffOrange DDPAT , Tec-9Urban DDPAT , UMP-45Urban DDPAT , ★ KnivesForest DDPAT燃料喷射器系列:Tec-9Fuel Injector , AK-47Fuel Injector;深红之网系列:Desert EagleCrimson Web , R8 RevolverCrimson Web , CZ75-AutoCrimson Web , SCAR-20Crimson Web , ★ KnivesCrimson Web风暴系列:Desert EagleMidnight Storm , Desert EagleSunset Storm 弐 , Desert EagleSunset Storm 壱北方森林系列:M4A1-SBoreal Forest , P250Boreal Forest , ★ KnivesBoreal Forest元塑轮廓系列:FAMASValence , P250Valence黑水系列:M4A1-SDark Water , USP-SDark Water , SSG 08Dark Water 电子脉冲系列:SG 553Pulse , FAMASPulse噩梦之夜系列;Glock-18Night , Desert EagleNight , ★ KnivesNight都市危机系列:Five-SeveNUrban Hazard , Dual BerettasUrban Shock , MP7Urban Hazard表面生锈系列:Sawed-OffRust Coat , PP-BizonRust Coat , ★ KnivesRust Coat多变迷彩系列:Tec-9VariCamo , Galil ARVariCamo , XM1014VariCamo Blue , M4A1-SVariCamo , G3SG1VariCamo 沙尘暴系列:Tec-9Sandstorm , Galil ARSandstorm天空守卫系列:MAG-7Heaven Guard , XM1014Heaven Guard 蛊惑之色系列:MP9Hypnotic , Desert EagleHypnotic雇佣兵系列:AUGContractor , Dual BerettasContractor , Five-SeveNContractor , Scar-20Contractor , G3SG1Contractor 炽热系列:MAG-7Heat , MAC-10Heat神祇系列:Galil ARKami , Five-SeveNKami沙漠精英系列;M4A4Desert-Strike , NegevDesert-Strike银系列:MAG-7Silver , MAC-10Silver简报系列:UMP-45Briefing , M4A1-SBriefing手打
电影redline—红线(狂野时速)(速度与激情)中女主角唱的两首歌
下载地址原声大碟 -《速度与激情》《狂野时速》
发表评论