Redline Stealer — самый известный вредонос современности: история, обзор и анализ
Приветствую, вещает DeathDay. Я здесь так посидел и подумал, а почему бы не выкатить новый цикл статей, в котором мы будем анализировать самые популярные и опасные вредоносы современности? Если здесь остались те, кто меня помнят, то со стопроцентным шансом, ты видел дюжину статей из цикла Историческая Вирусология, где мы проводили кратенькие анализы вирусов прошлого, хорошее было время. Ну а теперь мы разберемся с более актуальными угрозами. Приятного прочтения и заранее спасибо, что ты здесь. Кстати вторая часть анализа FormBook выйдет завтра.
Предисловие
Раз-два-три-четыре-пять, с чего бы мне начать? Наверное, с того, что на данный момент вирусный плацдарм практически полностью заполнен шифровальщиками и стиллерами. Сейчас куда меньше интересных историй, в которых обиженный кодер решил отомстить своему работодателю, создав червя, который в последствии заразил практически весь мировой интернет. А после этот уникум, используя своё творение, устроил одну из масштабнейших DDOS атак времен нулевых.
Времена меняются и таких самоотверженных ребят все меньше и меньше, нынешняя вирусная тенденция сполна отражает главные цели злоумышленников - нажива. Что ты получишь от DDOS’а сайта своей компании? Тюремный срок. И даже если превратишь дудос в услугу - затраты большие. А что ты получишь, распространив шифровальщик или стиллер? Выкуп или ценные данные, которые можно продать, и если серого вещества достаточно, то даже останешься на свободе. Выбор очевиден не так ли?
И сегодня речь зайдет об одном очень интересном экземпляре, который не так давно нацелился на разработчиков приложений… Поприветствуйте нашего испытуемого - RedLine Stealer. И сейчас должна заиграть эпичная музыка…
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
RedLine Stealer - общая информация
Итак, ReadLine Stealer – это зловредное программное обеспечение, которое и сейчас доступно для приобретения на различных теневых форумах. Оно применяется различными киберпреступниками с целью кражи информации и загрузки дополнительных вредоносных программ на устройство потерпевшего. Неизвестна точная дата его появления, однако первый образец вредоносного ПО ReadLine был замечен на VirusTotal в марте 2020 года.
RedLine Stealer имеет способность кражи широкого спектра личной информации, включая логины, пароли, данные для автозаполнения, файлы cookie и данные кредитных карт из всех основных веб-браузеров. Спектр возможностей достаточно широк, но меркнет по сравнению с тем же FormBook. Однако здесь стоит отметить, что последний является просто швейцарским ножом, а Редлайн в большей части нацелен на аккаунты, а особенно на криптокошельки, типа: AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Armory, и Jaxx.
Вот ещё небольшая статистика за первый квартал 2024 года, что мы видим? Стабильность появления новых сэмплов вредоноса в сети. Редлайн используется на постоянной основе и не хуже ли это, ежели атаки имели характер волн?
О способах распространения этого вредоноса можно сказать так: что они только не придумали, из-за того, что вирус является частью программы “malware-as-service” чего только не найти. Проговорим самые популярные методы.
В конце осени 2023 года вредоносы забили публичный репозиторий NPM и PyPi.
NPM — это инструмент для управления пакетами, который по умолчанию устанавливается вместе с Node.js. Он предназначен для загрузки пакетов с облачных серверов npm или их публикации.
А PyPi это такая же штука, но только для Python. Если быть более точным, то непосредственно в PyPi никто не загружал вредоносов, как это было с NPM, гении просто воспользовались высоким рейтингом источника в поисковых системах. Делая что-то типа этого:
Эта страничка была грамотно оформлена с точки зрения SEO и поисковики сами продвигали её, чего только стоит количество скачиваний, хотя что все эти люди качали - вопрос, если там просто ссылка.
Но суть та же, это работало, по данным отчета Checkmarx, за этой кампанией могли стоять несколько группировок, чьей конечной целью являлось распространение различных видов вредоносного ПО. В частности, RedLine Stealer (80%), Glupteba (12%), Smoke Loader (5%) и XMRig (2%).
Достигли ли они своих целей? Конечно, но эту штуку достаточно быстро прикрыли, что не может не радовать.
На данный момент самым популярным способом распространения Редлайн является реклама, типа Google ADS или постов в социальных сетях.
Выглядит это вот так:
Как бы это не выглядело абсурдно - это работает.
RedLine Stealer - краткий статистический анализ
Использовать будем очень свежую версию от 25.05.2024, список инструментов у нас следующий:
- DIE — Detect it Easy: многофункциональный инструмент, имеющий просто огромный арсенал. Позволит нам опередить тип компилятора вредоноса, язык, библиотеки и таблицы импорта/экспорта с последующим дизассемблированием.
- PE Bear — неплохой инструмент для просмотра и редактирования составляющих PE файла.
- Tiny Tracer — утилита для динамического отслеживания исполнения бинарных элементов. Так называемый трейсер.
- IDA PRO — инструмент для реверс-инжиниринга.
- Reko — декомпилятор, который в 90% случаев бесполезный.
- HollowHunter — утилита, которая распознает и сбрасывает множество потенциально вредоносных имплантов (замененные/имплантированные PE, шелл-коды, перехватчики, патчи в памяти).
Собственно вредонос у нас представлен в виде .zip архива, откроем его с помощью любого архиватора и изучим содержимое.
Один единственный исполняемый файлик с названием Overdue SOA Sinotech Logistics, скорее всего это попытка замаскироваться под какую-то офисную программу. Размер имеет значение, так как более новые версии Редлайна заметно тяжелее, к примеру версия лета 2023 года имела всего-лишь 580 КБ, наш испытуемый же весит практически в два раза больше. Оригинальное имя файла вовсе ни о чем не говорит, поисковик выдает, что это электрогитара. Переходим в DIE для получения более полной информации.
Итак, вредонос у нас является 32-битным исполняемым PE файлом, написанным на языке C#, компилятор является дефолтным, а вот что интересно так это наличие цифровой подписи. Её сделать легко, но это большая редкость для вредоносов такого типа. Обфускаторов нет и это не может не радовать. Ради интереса также выгрузил образец на VirusTotal и получил неплохой процент обнаружения - 41/62. Антивирус от Яндекс и Аваст снова где-то курят в сторонке, а остальные гиганты этого дела справляются на ура.
Но перейдя в декомпилятор мы видим очень странную картину, а именно - отсутствие модулей, которые должны отвечать как раз таки за кражу данных, у нас здесь только связь с каким-то сервером, проверка IP адреса и защитные меры.
Мне было крайне лень копаться и искать, что же он такого делает и я решил запустить трассировку образца с помощью Tiny Tracer, это наглядно покажет, какие именно функции и системные вызовы использует вредонос и что же он на самом деле делает. Скорее всего то, что мы видим сейчас является лишь первичной полезной нагрузкой.
И вуаля, образец создает неизвестный дочерний процесс с помощью вызова rtlCreateUserProcessParametersEx, затем что-то декодирует из юникода и прерывает свою работу. Чтобы выудить этот шеллкод, я буду его так называть для удобства, нам понадобится утилита HollowsHunter, ничего особого сложного - просто запускаем её с параметром /shelc 4. Пара магических мгновений и основное тело вредоноса тут как тут. Оно отличается лишь меньшим весом, имеет ту же цифровую подпись и характеристики.
Теперь очертим примерный алгоритм работы прежде чем перейти в DNSPy:
- Связь с командным сервером и расшифровка зашифрованных строк.
- Типичное закрепление в системе.
- Непосредственно кража данных, упаковках их и отправка на сервер.
- Режим ожидания дальнейших команд.
Связь с командным сервером и расшифровка зашифрованных строк
На самом деле, это является достаточно нетипичным действием для вредоносов подобного типа, зачастую они связываются с C&C сервером только после того как закончиили свои грязные дела. Давайте перейдем в DNSPy, чтобы рассмотреть более подробно, как устроена эта система. Хотя стоп. Что это?
ConfuserEx? Его до сих пор кто-то использует? Для тех, кто в танке:
ConfuserEx - это инструмент для обфускации (затемнения) .NET-кода. Он предназначен для изменения исходного кода таким образом, чтобы его стало сложнее понять и обратно преобразовать, сохраняя при этом его функциональность. Обфускация используется в основном для защиты кода от обратной инженерии, чтобы затруднить или замедлить процесс анализа и восстановления исходного кода.
Для нас с тобой это не является особой проблемой и деобфусцировать это достаточно легко, давай-ка покажу как…
Продолжение следует.
Краткие выводы к первой части
Особо нечего подводить, Редлайн - вредонос используемый на постоянной основе во множестве атак. Как относительно прошаренными ребятами, так и школотой. Поисковики полностью забиты сайтами, где вам предлагают скачать крякнутую версию Редлайна, но… Все они содержат в себе тот же редлайн, который сегодня у нас на анализе. Продолжение выйдет совсем скоро, а завтра ждите вторую часть анализа FormBook. Не теряйте, ваш DeathDay.