窃密红线：浅析RedLine Stealer的危险威胁

网宿安全演武实验室近期捕获了RedLine Stealer恶意窃密木马。RedLine Stealer，首次于2020年3月出现，是一款主要针对Windows用户的恶意软件，其主要目标是窃取受害者的个人数据和信息。从各类途径（包括破解游戏、应用程序和服务）的传播使其成为了一个持续的网络安全威胁。

此恶意软件的功能主要在于从多种客户端程序中窃取登录凭据，包括网络浏览器、FTP客户端、电子邮件应用、Steam、即时消息客户端以及科学客户端。其对于FileZilla、Discord、Steam、Telegram和科学客户端数据的窃取功能尤为显著。除此之外，RedLine Stealer还能够窃取储存在浏览器中的身份验证cookie、信用卡信息、聊天记录、本地文件以及加密货币钱包。RedLine Stealer还具备系统信息收集的能力，能获取受害者系统的细节，例如IP地址、所在城市和国家、当前用户名、操作系统版本、UAC设置、管理员权限、用户代理，以及关于受感染PC的硬件和显卡的详细信息。该软件甚至还能检测系统中已安装的防病毒软件。

除了信息收集之外，RedLine Stealer还充当恶意软件加载器的角色，可用于部署其他类型的恶意软件，例如勒索软件，这进一步增加了其对网络安全的威胁。此软件会将收集的数据转换为XML格式，然后利用多种防御逃避技术传输至控制服务器（C2服务器）。C2服务器是恶意软件的远程控制中心，用于接收窃取的数据和发送控制命令。

值得关注的是，RedLine Stealer运用了恶意软件即服务（MaaS）的商业模式，这种模式在黑客社区中较为常见。在犯罪论坛中，RedLine Stealer的价格定为150美元/月，或者一次性支付900美元购买终身使用权。其开发者还在Telegram频道上销售此软件，接受比特币支付。购买者还可获得一款免费的加壳程序，用以规避安全软件的检测。

图1 售卖信息

作者最近一次更新于2023年6月份，可以看到该软件一直在持续不断的更新中。同时，Github中有该软件早期的泄露版本。

图2 更新信息

RedLine Stealer有多种感染方式，包括电子邮件附件、恶意链接、软件漏洞、社交工程等。它的出现警示我们，网络安全不可忽视，一定要随时更新防病毒软件，提高警惕，尽可能地防止此类恶意软件的入侵。

样本概要：

执行恶意文件后，它会向C2请求配置，并根据配置进行信息收集的任务下发。在收集完数据后，将结果格式化发送至C2。

样本执行流程如下图：

图3 执行流程

恶意行为分析

C2（命令与控制）通信尝试连接到单个服务器，解密后可以得到该服务器的地址是188.124.36.242，端口是25802。

图4 解密c2服务器

RedLine Stealer 使用 .Net SOAP API，采用简单的 TCP 绑定。这转化为一个加密的、非 HTTP 通信通道。请求包含授权信息，并且不检查证书有效性。

图5 创建通信通道

在建立通信后，RedLine Stealer可以根据 SOAP 响应启用/禁用某些功能。例如，通过在ScanWallets字段中指定一个 false 值，恶意软件不会扫描系统中的加密钱包，为了不花很多时间，它会跳过受害者机器上不存在的内容。

图6 扫描参数

Redline Stealer会将首先扫描基本数据情况，并将结果保存在名为 ScanResult 的结构中，随后发送至C2服务器。

图7 扫描结果

基础信息扫描可以先对一些情况进行确认，例如，若是俄语区的主机则结束操作并退出程序。

图8 用户判断（地理及编码判断）

后续有个ScanDetails功能，它收集有关失陷主机详细的数据，例如防病毒软件、已安装输入语言列表、已安装程序列表、运行进程列表以及FTP连接等，如下所示：

图9 扫描详情功能

该恶意软件使用 WMI（Windows Management Instrumentation）进行主机信息的收集，例如枚举任何已安装的安全解决方案。这个恶意软件枚举所有已安装的安全解决方案。它可以连接ROOT\\SecurityCenter或ROOT\\SecurityCenter2命名空间调用SELECT * FROM AntiVirusProduct获取任何防病毒、防间谍软件和防火墙（第三方）软件。

图10 杀软查询

该恶意软件窃取加密货币钱包，凭借先进的黑客技术和隐秘操作的强大组合，RedLine窃取加密钱包对数字货币生态系统的安全性和稳定性构成严重威胁，RedLine 瞄准了许多钱包，如Armory、Atomic、BinanceChain、Electrum、Exodus、Ethereum、Monero、Jaxx、Guarda等。

ATT&CK映射图谱

图11 RedLine Stealer ATT&CK映射图谱

总结

RedLine，它因窃取数据类型多、操作便捷且售价低，得以广泛传播。RedLine的野生样本已超过10万个，使其在2022年成为最活跃的窃密木马家族。据统计，RedLine在2022年的窃密木马中占比15.42%。

为了应对像RedLine这样日益活跃的窃密木马攻击，我们需要更加深入地理解其工作机制和防护策略。窃密木马通过向目标用户的计算机或设备植入恶意软件，以窃取敏感数据和信息。攻击者通常使用诱骗手段，如社交工程、钓鱼邮件等，将木马软件伪装成正常文件或链接，诱使用户下载或执行。

根据网络安全公司CyberArk的报告，2023年第一季度全球共发现4.378亿个窃密木马样本，较上一季度增长了98%。这说明攻击者正在不断更新木马软件，使其更难被发现和防御，窃密木马攻击的威胁正在持续升级。

这些窃密木马攻击可分为两类：广泛传播型攻击和定向攻击。广泛传播型攻击主要依赖于大量传播恶意软件，意图感染尽可能多的设备。定向攻击则针对特定目标，攻击者会深入研究目标的行为和习惯，利用更高级的技术进行攻击，以实现长期持续的信息窃取。

为了有效防御这些窃密木马攻击，传统的防火墙、杀毒软件等安全措施已经不再充分。针对定向攻击和日益复杂的攻击手段，企业和个人需要采取更为全面和主动的防护策略。零信任防护方案是一种应对此类威胁的有效方法。这种方案要求在访问任何系统资源之前，都必须先进行身份验证和权限确认，从而大大降低了窃密木马攻击的成功率。

零信任防护遵循最小权限原则，全面验证用户、设备和应用程序的身份，结合行为分析和动态访问权限管理，实现实时威胁检测和防护。在零信任模型下，即使攻击者成功植入窃密木马，其窃取信息的能力也会受到严格限制。通过不断学习和适应新的威胁，零信任防护方案有助于企业和个人更有效地应对日益严重的窃密木马攻击。网宿安全产品SecureLink提供全套零信任防护方案，可以帮助企业从整体安全体系的角度解决窃密攻击带来的问题。该产品具有以下核心特点和功能：

强大的身份验证：通过多因素身份验证、单点登录、IP/时间/地理围栏认证等方式，确保用户身份的真实性和可信度，防止恶意用户或攻击者伪装成合法用户进行攻击。
实时行为分析：通过实时监测用户的访问行为模式和活动，结合人工智能和机器学习技术，通过信任评估模型及时发现攻击者的异常行为并进行预警和阻断，以防止未知的攻击行为。
统一访问控制：基于用户身份、设备状况和应用程序需求，实现精细化的访问控制策略，确保只有经过授权的用户和设备才能访问其权限内的敏感信息和关键系统。
安全Web网关：提供安全办公和上网的环境，检测阻断不合规网络连接，提供高速RBI工具，将互联网风险内容与用户设备、办公网络隔离开，有效防止外部恶意攻击渗入。
安全工作空间：提供本地隔离空间，针对敏感数据、关键系统可限定仅能在安全工作空间内运行及访问，数据无法流出到个人桌面，有效防止数据泄露的风险。