RedLine Stealer는 감염된 시스템에서 다양한 개인 정보를 탈취하는 악성 프로그램입니다. 이것은 독립형 악성 코드로 전파될 수도 있으며, 다른 악성 앱과 함께 전파될 수도 있습니다. 이 악성 코드는 은행 스틸러의 예입니다. 그러나 다른 브라우저로 이동하여 다양한 다른 정보 카테고리를 가져올 수도 있습니다.
스틸러 멀웨어란 무엇인가요?
스틸러(Stealer)는 감염된 컴퓨터에서 특정 데이터 유형을 탈취하는 악성 소프트웨어 유형입니다. 이러한 악성 코드 클래스는 때로는 스파이웨어와 혼동되기도 합니다. 그러나 후자는 시스템에서 가능한 모든 것을 가져갑니다. 한편, 일부 스틸러는 특정 파일 또는 특정 형식의 파일을 검색할 수도 있습니다. – 예를 들어, AutoCAD 블루프린트 또는 Maya 프로젝트입니다. 그것은 더 효과적이지만, 성공하기 위해 더 많은 기술과 제어가 필요합니다.
스틸러는 탐지되지 않은 상태로 시스템에 머무는 시간이 효율성에 매우 의존하기 때문에 가능한 한 은신처럼 행동하려고 노력합니다. 물론, 특정 샘플은 기본 작업을 수행한 후 자체 파괴됩니다. 그러나 탐지되거나 C&C(Cmd & Ctrl) 서버로부터 자체 파괴 명령이 있는 경우 계속 실행되는 스틸러도 있습니다. C&C 서버에서 명령을 받을 때까지 작동하는 것입니다.
레드라인 스틸러 기능
RedLine 스틸러는 일반적으로 뱅킹 스틸러처럼 작동하며, 주요 목표는 웹 브라우저에 저장된 뱅킹 자격 증명입니다. 이를 위해 RedLine은 Chromium, Gecko 기반 및 기타 모든 브라우저에서 깊이 파고들 수 있는 능력을 갖추고 있습니다. 그러나 뱅킹 데이터 외에도 브라우저에 저장된 쿠키와 비밀번호를 가져옵니다. 그러나 인기 있는 브라우저 중 많은 브라우저는 후자를 일반 텍스트 형식으로 저장하지 않으므로, 대체 앱의 사용자를 공격하는 것입니다.
레드라인 스틸러의 관리 패널
하지만, 웹 브라우저는 그 스틸러에게서 얻을 수 있는 유일한 정보원이 아닙니다. RedLine 악성 코드는 다양한 앱 (예: Telegram, Discord 및 Steam)과 함께 기기를 스캔합니다. 그리고 FTP/SCP 및 VPN 연결 자격 증명도 가져오려고 합니다. 역공학을 통해 복구 된 코드에서는 암호화 지갑을 스캔하고 정보를 도난할 수 있는 능력도 보여줍니다.
프로시저가 끝나면, RedLine은 시스템에 대한 상세 정보 (예: 운영체제 버전, 설치된 하드웨어, 소프트웨어 목록, IP 주소)을 수집합니다. 그런 다음 수집 된 정보의 전체 팩이 ScanResult 폴더에 저장됩니다. ScanResult 폴더는 스틸러 실행 파일이 있는 동일한 디렉토리에 생성됩니다.
레드라인 기술 분석
RedLine 악성코드가 대상 컴퓨터에 도달한 후, Trick.exe라는 단일 프로세스와 콘솔 창의 단일 인스턴스가 시작됩니다. 곧 이어, newlife957[.]duckdns[.]org[:]7225 주소의 명령 및 제어 서버와 연결을 설정합니다. 초기 코드에는 실제 프로그램에서 가져온 것으로 추정되는 매우 정상적인 기능이 포함되어 있는데, 악성 코드는 초기 코드의 기능을 통해 동적으로 다운로드됩니다. 이러한 속임수는 초기 액세스 이후 시스템 내의 안티-악성 코드 솔루션을 비활성화하기 위해 일부 시간을 확보하는 데 사용됩니다.
레드라인 코드의 틱택토 레퍼런스
악성 페이로드가 설치되면, 악성 코드는 먼저 PC의 IP 주소를 확인합니다. 이를 위해 api[.]ip[.]sb 사이트를 사용합니다. 내부 블랙리스트인 국가 및 IP 주소와 충돌이 없으면, RedLine은 구성 후 받은 목록을 따라 단계별로 환경을 스캔하기 시작합니다.
감염된 PC에서 훔칠 요소를 검사하는 순서
그런 다음, 공격된 시스템에서 추출된 정보가 포함된 로그 파일을 작성합니다. 데이터 추출 단계에서 악성코드가 데이터 암호화를 기능으로 하고 있기 때문에 모든 세부 정보를 볼 수는 없습니다. 그러나 데이터 유형은 명확하게 보이므로 이 악성코드가 어떤 정보를 악용할 가능성이 있는지 예상할 수 있습니다.
레드라인 스틸러가 수집하는 데이터 유형
| 함수 이름 | 설명 |
|---|---|
| ScannedBrowser | 브라우저 이름, 사용자 프로필, 로그인 자격 증명 및 쿠키 |
| FtpConnections | 대상 컴퓨터에 있는 FTP 연결에 대한 세부 정보 |
| GameChatFiles | 발견된 모든 게임과 관련된 게임 내 채팅 파일 |
| GameLauncherFiles | 설치된 게임 런처 목록 |
| InstalledBrowsers | 설치된 브라우저 목록 |
| MessageClientFiles | 대상 머신에 있는 메시징 클라이언트 파일 |
| City | 감지된 도시 |
| Country | 감지된 국가 |
| File Location | 악성코드 .exe 파일이 실행되는 경로 |
| Hardware | 설치된 하드웨어에 대한 정보 |
| IPv4 | 피해 PC의 공용 IPv4 IP 주소 |
| Language | OS 언어 |
| ScannedFiles | 시스템에서 발견되었을 가능성이 있는 중요한 파일 |
| ScreenSize | 대상 시스템의 화면 해상도 |
| 함수 이름 | 설명 |
|---|---|
| ScannedWallets | 시스템에서 찾은 지갑에 대한 정보 |
| SecurityUtils | 탐지된 모든 바이러스 백신 프로그램 목록 및 상태 |
| AvailableLanguages | 대상 PC의 OS 버전에서 지원하는 언어 |
| MachineName | 대상 머신의 이름 |
| Monitor | 실행 시점의 화면 스크린샷 |
| OSVersion | 운영 체제 버전에 대한 정보 |
| Nord | NordVPN용 자격 증명 |
| Open | OpenVPN용 자격 증명 |
| Processes | 시스템에서 실행 중인 프로세스 목록 |
| SeenBefore | 신고가 새로운 피해자에 대한 것인지 아니면 이전에 공격을 받은 피해자에 대한 것인지 확인합니다. |
| TimeZone | 공격받은 컴퓨터의 표준 시간대 |
| ZipCode | 피해자의 우편 번호 |
| Softwares | 공격받은 PC에 설치된 프로그램 목록 |
| SystemHardwares | PC 구성에 대한 세부 정보 |
다양한 연구들은 RedLine이 공격하는 브라우저와 완전히 일치하지 않음을 보여줍니다. 가장 효과적인 것은 Chrome, Opera, Chromium 및 Chromodo 브라우저입니다. Chromium 이외의 엔진을 기반으로한 앱 중에서는 중국의 WebKit 기반 360Browser가 있습니다. Gecko 엔진을 기반으로한 웹 브라우저인 Firefox, Waterfox 등도 취약하지만, 이 스틸러는 때로는 그들로부터 데이터를 추출하는 동안 문제가 발생할 수 있습니다.
RedLine 악성 코드는 장기간 시스템에 머무는 것을 목표로합니다. 많은 스틸러들은 데이터가 없어지면 자동 삭제 기능을 가지고 있습니다. 한편, 이 스틸러는 스파이웨어 스타일의 메커니즘을 제공합니다: 운영자가 스틸러를 삭제하도록 지시할 수 있지만, 내부에 타이머는 없습니다.
레드라인 스틸러 IoC
| 표시기 | 유형 | 설명 |
|---|---|---|
| newlife957[.]duckdns[.]org[:]7225 | URL | C2 URL |
| 1741984cc5f9a62d34d180943658637523ac102db4a544bb6812be1e0507a348 | 해시 | SHA-256 해시 – 변장(감지되지 않음) |
| ee4608483ebb8615dfe71924c5a6bc4b0f1a5d0eb8b453923b3f2ce5cd00784b | 해시 | 멀웨어 부분의 SHA-256 해시 |
| 9dc934f7f22e493a1c1d97107edc85ccce4e1be155b2cc038be8d9a57b2e430f | 해시 | 멀웨어 부분의 SHA-256 해시 |
| 76ca4a8afe19ab46e2f7f364fb76a166ce62efc7cf191f0f1be5ffff7f443f1b | 해시 | 멀웨어 부분의 SHA-256 해시 |
| 258445b5c086f67d1157c2998968bad83a64ca3bab88bfd9d73654819bb46463 | 해시 | 시스템 정보 그래버의 SHA-256 해시 |
야생에서 광범위하게 발견되는 레드 라인 변종
레드라인 스틸러 배포
앞서 언급했듯이, 레드라인 스틸러는 단독 멀웨어로 올 수도 있고 다른 바이러스와 함께 번들로 올 수도 있습니다. 사기꾼에게 편리하고 표면 웹에서도 쉽게 구입할 수 있기 때문에 지난 시간 동안 활동이 빠르게 증가했습니다. 예를 들어, 개발자는 텔레그램 메신저에 그룹을 만들어 다양한 구독 유형으로 이 멀웨어를 제공하고 있습니다. 도둑은 뛰어난 기능을 가지고 있기 때문에 이러한 제안은 결코 오래 가지 않습니다.
텔레그램 메신저의 레드라인 마케팅 봇
독립형 형태로는, RedLine 스틸러는 보통 이메일 피싱을 통해 전파됩니다. 또한, Discord, Telegram, Steam, 그리고 크랙된 앱의 설치 파일로 위장할 수 있습니다. 특정 경우에는 RedLine이 브라우저 확장 프로그램으로 나타나서 YouTube 비디오 설명에 다운로드 링크가 포함되어 있었습니다. 하지만, 피싱 이메일 메시지는 악성 코드 배포의 가장 강력하고 인기 있는 형태 중 하나이며, RedLine 스틸러 역시 제외는 아닙니다.
일반적인 피싱 이메일의 예
다른 악성 코드와 함께 전파되는 경우, RedLine은 종종 다른 랜섬웨어 샘플과 결합됩니다. 그러나, RedLine과 Djvu ransomware의 복합체 이후, 번들 전파의 가장 큰 비중을 차지하고 있습니다. 실제로 이 랜섬웨어는 이 스틸러 뿐 아니라 SmokeLoader 백도어와 Vidar stealer라는 또 다른 2가지 악성 코드를 특징으로 합니다. 이러한 패키지는 모든 소중한 데이터를 가져가고 컴퓨터를 다른 악성 코드로 침투시킵니다. 또한 랜섬웨어를 잊지 마세요 – 이것은 이미 파일을 엉망으로 만듭니다.
Djvu 랜섬웨어란 무엇인가요?
STOP/Djvu 랜섬웨어는 대개 개인들을 겨냥한 장기적인 사이버 범죄 조직의 대표적인 예입니다. 그들은 랜섬웨어 시장에서 금방 지배적인 위치를 차지했으며, 일정 시점에서 전체 랜섬웨어 제출의 75% 이상을 차지했습니다. 요즘에는 이러한 속도를 잃었지만 여전히 매우 위험합니다. 사용자 장치에 추가적인 악성 코드를 가져오는 것은 새로운 희생자 수의 감소를 보완하기 위해 필요한 것으로 보입니다. 이전에는 Azorult stealer를 배포했지만, 이후에는 이전에 언급한 악성 코드로 전환되었습니다.
어떻게 보호받을 수 있나요?
스팸이 퍼지는 방법을 알면 스팸을 예방하는 데 큰 도움이 됩니다. 이메일 스팸에 대응하는 방법은 잘 알려져 있으며 매우 다양한 접근 방식이 있습니다. 합법적인 애플리케이션으로 위장하여 확산되는 멀웨어도 마찬가지입니다. 독특하고 가끔씩 등장하는 방법은 피하기 가장 어렵지만 여전히 가능합니다.
스팸 이메일은 진짜 메시지와 쉽게 구분할 수 있습니다. 거의 모든 수상한 메시지는 실제 회사나 익숙한 발신자를 모방하려고 합니다. 그러나, 발신자의 주소를 위조할 수 없으며, 그 편지를 기다리고 있는지 예측할 수 없습니다. 사실, 사전 피싱을 통해 받을 이메일을 알 수 있지만 이러한 경우는 매우 드뭅니다. 따라서, 수상한 편지를 수신하고 발신자의 주소가 보통과 다른 경우, 누
미끼 이메일의 전형적인 예입니다. 첨부 파일에 멀웨어가 포함되어 있습니다.
가짜 앱 설치 프로그램은 많은 관심을 요구하지는 않지만 규칙을 따르도록 해야합니다. 예를 들어, 이러한 위조품은 종종 Discord나 Reddit와 같은 온라인 커뮤니티에서 퍼뜨려집니다. 그들을 사용하는 것은 위험합니다. 특히 공식 사이트에서 무료로 동일한 설치 프로그램을 얻을 수 있는 경우입니다. 크랙된 프로그램의 경우, 이것을 기억해야 할 것입니다 – 해가 뜨는 동안은 무료로 얻을 수 있는 것은 없습니다. 크랙이 정품처럼 보이고 보내는 사람을 잘 알고
Discord를 통해 확산되는 멀웨어의 예
교묘한 방법을 예측하고 사전에 탐지하는 것은 거의 불가능합니다. 그러나 파일과 확장자가 자동으로 실행되지는 않습니다. 확실하지 않은 상황이 발견되면 강력한 보안 솔루션으로 전체 검사를 실행하는 것이 최선의 결정입니다. 최신 스캔 시스템이 장착되어 있다면 사람의 눈에는 보이지 않는 비정상적인 활동을 확실히 발견할 수 있습니다.
