RedLine Stealer BCSC-MALWARE-REDLINE-STEALER TLP:WHITE - www.basquecybersecurity.eus - Basque Cybersecurity Centre
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
RedLine Stealer BCSC-MALWARE-REDLINE-STEALER TLP:WHITE www.basquecybersecurity.eus Diciembre 2021 REDLINE STEALER TLP: WHITE Página 24 de 25
TABLA DE CONTENIDO Sobre el BCSC ................................................................................................... 2 1. Resumen ejecutivo ......................................................................................... 3 2. Análisis técnico............................................................................................... 4 2.1. Flujo de infección ..................................................................................... 4 2.2. Operativa ................................................................................................. 5 2.3. Técnicas MITRE ATT&CK ..................................................................... 14 3. Mitigación ..................................................................................................... 15 4. Indicadores de compromiso ......................................................................... 16 Red ............................................................................................................... 16 Hashes.......................................................................................................... 16 YARA rules ................................................................................................... 16 5. Referencias adicionales ............................................................................... 17 Apéndice A: Claves y valores desofuscados .................................................... 18 Apéndice B: Mapa de técnicas MITRE ATT&CK .............................................. 24 Cláusula de exención de responsabilidad El presente documento se proporciona con el objeto de divulgar las alertas que el BCSC considera necesarias en favor de la seguridad de las organizaciones y de la ciudadanía interesada. En ningún caso el BCSC puede ser considerado responsable de posibles daños que, de forma directa o indirecta, de manera fortuita o extraordinaria pueda ocasionar el uso de la información revelada, así como de las tecnologías a las que se haga referencia tanto de la web de BCSC como de información externa a la que se acceda mediante enlaces a páginas webs externas, a redes sociales, a productos de software o a cualquier otra información que pueda aparecer en la alerta o en la web de BCSC. En todo caso, los contenidos de la alerta y las contestaciones que pudieran darse a través de los diferentes correos electrónicos son opiniones y recomendaciones acorde a los términos aquí recogidos no pudiendo derivarse efecto jurídico vinculante derivado de la información comunicada. Cláusula de prohibición de venta Queda terminantemente prohibida la venta u obtención de cualquier beneficio económico, sin perjuicio de la posibilidad de copia, distribución, difusión o divulgación del presente documento. REDLINE STEALER TLP: WHITE Página 1 de 25
SOBRE EL BCSC El Centro Vasco de Ciberseguridad (Basque Cybersecurity Centre, BCSC) es la entidad designada por el Gobierno Vasco para elevar el nivel de madurez de la ciberseguridad en Euskadi. Es una iniciativa transversal que se enmarca en la Agencia Vasca de Desarrollo Empresarial (SPRI), sociedad dependiente del Departamento de Desarrollo Económico, Sostenibilidad y Medio Ambiente del Gobierno Vasco. Así mismo, involucra a otros tres Departamentos del Gobierno Vasco: el de Seguridad, el de Gobernanza Pública y Autogobierno, y el de Educación, y a cuatro agentes de la Red Vasca de Ciencia, Tecnología e Innovación: Tecnalia, Vicomtech, Ikerlan y BCAM. El BCSC es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de ciudadanos, empresas e instituciones públicas en Euskadi, especialmente para los sectores estratégicos de la economía de la región. La misión del BCSC es por tanto promover y desarrollar la ciberseguridad en la sociedad vasca, dinamizar la actividad empresarial de Euskadi y posibilitar la creación de un sector profesional que sea referente. En este contexto se impulsa la ejecución de proyectos de colaboración entre actores complementarios en los ámbitos de innovación tecnológica, investigación y transferencia tecnológica a la industria de fabricación avanzada y otros sectores. Así mismo, ofrece diferentes servicios en su rol como Equipo de Repuesta a Incidentes (en adelante CERT, por sus siglas en inglés “Computer Emergency Response Team”) y trabaja en el ámbito de la Comunidad Autónoma del País Vasco para aumentar la capacidad de detección y alerta temprana de nuevas amenazas, la respuesta y análisis de incidentes de seguridad de la información, y el diseño de medidas preventivas para atender a las necesidades de la sociedad vasca. Con el fin de alcanzar estos objetivos forma parte de diferentes iniciativas orientadas a la gestión de incidentes de ciberseguridad: REDLINE STEALER TLP: WHITE Página 2 de 25
1. RESUMEN EJECUTIVO RedLine Stealer se trata de una familia de malware con características de infostealer, es decir, su función principal consiste en la recolección de datos del equipo infectado para enviarlos al servidor de comando y control (C2). Aun así, también es capaz de ejecutar tareas de forma remota, pudiendo descargar y ejecutar otro tipo de código malicioso. Fue detectada por primera vez a principios del 2020, tratando de aprovechar las circunstancias producidas por la pandemia a causa del coronavirus. Su principal vía de distribución es mediante campañas de phishing, aunque también ha sido detectado en aplicaciones de mensajería modificadas y en sitios web maliciosos. En concreto, esta familia es capaz de recolectar datos sobre los siguientes elementos: • Equipo y sistema operativo. • Ficheros. • Navegadores. • Clientes VPN. • Clientes FTP. • Clientes de mensajería. • Clientes de juegos. • Carteras de criptomonedas. Está desarrollado en C# y la mayoría de sus versiones poseen ofuscación de código con el objetivo de dificultar su análisis. REDLINE STEALER TLP: WHITE Página 3 de 25
2. ANÁLISIS TÉCNICO 2.1. Flujo de infección 1. Email con 2. La víctima 3. Descarga 4. La víctima ejecuta enlace accede a web ejecutable el malware malicioso fraudulenta malicioso 7. Posible fase de 6. Recopilación de 5. El malware post-explotación información bancaria compromete bajo demanda y de la víctima el sistema La principal vía de distribución de RedLine es mediante campañas de Phishing, aunque también ha sido detectado en aplicaciones de mensajería modificadas y en sitios web maliciosos. Se ha seleccionado una muestra p Para el análisis se ha analizado una muestra con la firma SHA1 2B5A37BE761513A6FC0DD7B27690860519EDE138. La muestra tiene un tamaño de 218KB y se encuentra ofuscada por el software Babel. REDLINE STEALER TLP: WHITE Página 4 de 25
2.2. Operativa La operativa general se base en cuatro fases: • Conexión. • Obtención de la configuración. • Recolección. • Envío y ejecución de tareas. RedLine utiliza clases y estructuras para llevar a cabo la recolección de la información. También utiliza distintos tipos de tratamientos y descifrados de cadenas con el objetivo de dificultar el análisis tal y como se puede observar a continuación. 2.2.1. Descifrado de cadenas La versión analizada posee varios mecanismos de descifrado de cadenas. El primero de ellos se realiza mediante una tabla de hash. La función encargada de realizar la operación es la renombrada a get_string_by_hash_table(int), que, dada una clave en decimal, devuelve un valor en forma de cadena. En el Apéndice A se pueden observar todas las correspondencias entre la clave y el contenido de las cadenas asociado. El segundo mecanismo está implementado en la función Decrypt de la clase StringDecrypt. Esta función recibe una cadena en Base64 y una clave, de forma que descifra la cadena en Base64 a la que aplica un XOR con la clave, y descifra de nuevo el resultado de la operación en Base64. El último mecanismo de cifrado utiliza los metadatos de los campos de una clase para almacenar un valor que posteriormente lo trata y lo descifra utilizando el algoritmo de cifrado simétrico AES. Estos datos se obtienen de forma dinámica y serán mostrados a lo largo del análisis. 2.2.2. Primera fase En la primera fase intenta contactar con el servidor de comando y control, C2. Para ello descifra la dirección IP 34.94.44.44 y el puerto 13743 con la clave REDLINE STEALER TLP: WHITE Página 5 de 25
“Birdman” y utiliza las funciones RequestConnection y TryGetConnection de la clase EndpointConnection para obtener la conexión. Si se puede establecer, da paso a la segunda fase. 2.2.3. Segunda fase En esta fase, una vez se obtiene la conexión, se intenta descargar los parámetros de configuración mediante la función TryGetArgs. A continuación, se muestran los distintos parámetros y su funcionalidad. Parámetro Funcionalidad ScanBrowsers Indica si se deben buscar navegadores instalados. ScanFiles Indica si se deben buscar ficheros. ScanFTP Indica si se deben buscar clientes FTP. ScanTelegram Indica si se debe buscar el cliente de Telegram. ScanDiscord Indica si se debe buscar el cliente de Discord. ScanVPN Indica si se deben buscar los clientes de VPN. ScanSteam Indica si se debe buscar el cliente de Steam. ScanWallets Indica si se deben buscar carteras de criptomonedas. REDLINE STEALER TLP: WHITE Página 6 de 25
ScanScreen Indica si se deben tomar capturas de pantalla. ScanFilesPaths Lista de rutas donde buscar ficheros. BlockedCountry Lista de países donde no se debe seguir ejecutando. BlockedIP Lista de direcciones IP donde no se debe seguir ejecutando. ScanChromePaths Lista de rutas del navegador Google Chrome. ScanGeckoPaths Lista de rutas del navegador basado en Gecko. Tras obtener los parámetros de configuración, da paso a la tercera fase. 2.2.3.1. Tercera fase Esta fase aúna la funcionalidad de recolección y exfiltración de la información. En primer lugar, crea un objeto de la clase IdentitySenderBase utilizando la función Create de la clase SenderFactory, pasándole como argumento la cadena relacionada con la versión del código malicioso. También descifra y almacena el identificador de la botnet del malware que, en este caso, se corresponde con “Wellsfargo bank”. A continuación, se puede observar como el objeto creado es de la clase PartsSender ya que esta clase hereda directamente de la clase IdentitySenderBase. REDLINE STEALER TLP: WHITE Página 7 de 25
Este objeto es el encargado de ejecutar todas las funciones de recolección y de enviar toda la información recolectada. A continuación, se describen los mecanismos de recolección de cada una de las funciones, organizados por categorías. 2.2.3.2. Información del equipo y del sistema operativo Para obtener la información referente al equipo y al sistema operativo, hace uso de la clase SystemInfoHelper. Esta clase emplea WMI a través de objetos de la clase ManagementObjectSearcher para realizar consultas y poder enumerar programas instalados, procesos en ejecución, programas de seguridad y navegadores instalados. En la siguiente tabla se muestran las claves que utiliza para realizar las consultas y obtener la información. REDLINE STEALER TLP: WHITE Página 8 de 25
Elemento Clave Programas HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall Seguridad root\SecurityCenter:SELECT * FROM AntiVirusProduct Navegadores HKLM/Software/Clients/StartMenuInternet Procesos SELECT * FROM Win32_Process WHERE SessionID=(id sesión proceso malware) También es capaz de obtener información del hardware del equipo, la zona horaria, la versión y número de serie del sistema operativo, y los idiomas disponibles. 2.2.3.3. Ficheros Para obtener los ficheros hace uso de las clases FileScanning y FileSearcher. Las rutas predefinidas para buscar los ficheros son las siguientes: \Windows\ \Program Files\ \Program Files (x86)\ \Program Data\ Las opciones y patrones de búsqueda se obtienen de los parámetros de configuración. Por cada fichero que encuentra, almacena sus metadatos en una estructura y lo copia en el directorio %TEMP% para su posterior exfiltración. 2.2.3.4. Navegadores El código malicioso busca navegadores basados en Chromium (Google Chrome) y en Gecko (Firefox). Los datos que pretende recolectar son credenciales de usuario, credenciales bancarias, cookies y datos autocompletados. Como se puede observar en la siguiente imagen, las rutas de búsqueda de los ficheros de los navegadores vienen facilitadas por los parámetros obtenidos en la configuración (settings). REDLINE STEALER TLP: WHITE Página 9 de 25
También se apoya en las clases SqliteMasterEntry y DbContext para obtener los datos de las bases de datos que emplean los navegadores. 2.2.3.5. VPN Los clientes VPN que tiene como objetivo son: OpenVPN y NordVPN. En ambos busca en el directorio “%USERPROFILE%\AppData\Local” y posteriormente busca el directorio donde se encuentre el ejecutable de cada cliente. En el caso de OpenVPN busca los ficheros con extensión “*.ovpn” (valor de la clave 4981 del Apéndice A). En el caso de NordVPN, busca el fichero user.config y posteriormente trata de descifrar las credenciales utilizando la función DecryptBlob de la clase CryptoHelper, que internamente utiliza la función Unprotect de la clase System.Security.Cryptography.ProtectedData. 2.2.3.6. Filezilla El código malicioso busca el cliente de FileZilla para obtener las credenciales de acceso. Estas credenciales se componen de una URL junto al nombre de usuario y la contraseña. Para ello busca los siguientes ficheros: \FileZilla\recentservers.xml \FileZilla\sitemanager.xml REDLINE STEALER TLP: WHITE Página 10 de 25
En la siguiente imagen se puede observar cómo obtiene el contenido de los campos Host (5931), Port (5926), User (5951) y Pass (5946) mediante la función InnerText. 2.2.3.7. Telegram Con el fin de localizar la ruta donde se encuentra instalado Telegram, el código malicioso utiliza la función GetProcessByName de la clase SystemInfoHelper. Esta función recibe el nombre del ejecutable, en este caso Telegram.exe, y ejecuta una consulta sobre el ExecutablePath a través de WMI. Tras localizarla, busca el directorio tdata, que es el que almacena los datos de sesión. 2.2.3.8. Discord RedLine busca los tokens correspondientes a la cuenta del cliente de Discord. Este tipo de tokens son una serie de caracteres alfanuméricos que sirven para autenticarse y cifrar la comunicación con los servidores. Para obtenerlos, busca en el directorio \AppData\Roaming\Discord\LocalStorage\ el fichero cuyo nombre coincida con leveldb que es el que los contiene. 2.2.3.9. Steam Steam es un servicio de distribución de videojuegos digital creado por Valve. El código malicioso busca los ficheros con nombre *ssfn* que se corresponden con el fichero Steam Sentry File utilizado para almacenar las credenciales. Al existir diversos ficheros *ssfn*, para encontrar el correcto sentry file, busca el fichero config.vdf que es el que contiene la referencia correcta al fichero buscado. REDLINE STEALER TLP: WHITE Página 11 de 25
2.2.3.10. Carteras de criptomonedas RedLine emplea distintos patrones de búsqueda predefinidos con la finalidad de encontrar las carteras relacionadas con las siguientes criptomonedas: Armory, Exodus, Ethereum, Monero, Atomic, BinanceChain, Jaxx, Electrum y Guarda. En esta versión no se han detectado clases propias para cada una de las criptomonedas. En cambio, se ha detectado una clase con nombre AllWallets que busca todos los ficheros con extensión *.wallet. Tras terminar de recolectar todos los datos, el objeto creado de tipo IdentitySenderBase procede a enviarlos al C2. Antes de contactar con el C2 obtiene información acerca de la dirección IP pública del equipo mediante el uso de la API de https://api.ip.sb/ip. También obtiene información de la IP privada mediante el uso de la clase NetworkInterface. Una vez obtenida la información, comprueba que los datos se hayan recolectado correctamente y los envía. 2.2.4. Cuarta fase En esta cuarta y última, fase, el código malicioso tratará de pedirle al C2 tareas adicionales a realizar. Si existieran tareas, procedería a realizarlas. REDLINE STEALER TLP: WHITE Página 12 de 25
Para ello, emplea la función ReleaseUpdates de la clase TaskResolver. Esta función permite la ejecución remota de comandos a través del CMD y la descarga y ejecución de otros ficheros a través de un cliente web. Para realizar la tarea a través del CMD utiliza la función System.Diagnostics.Process.Start(new ProcessStartInfo(“cmd /C” + tarea). Por otro lado, y para finalizar el análisis, para descargar un fichero utiliza WebClient().DownloadFile() y para ejecutar el fichero descargado System.Diagnostics.Process.Start(new ProcessStartInfo(ruta fichero). REDLINE STEALER TLP: WHITE Página 13 de 25
2.3. Técnicas MITRE ATT&CK Initial Access T1192 Spearphishing Link T1193 Spearphishing Attachment Execution T1204 User Execution T1003 Credential Dumping T1081 Credentials in Files Credential Access T1214 Credentials in Registry T1503 Credentials from Web Browsers T1539 Steal Web Session Cookie T1057 Process Discovery T1063 Security Software Discovery T1082 System Information Discovery Discovery T1087 Account Discovery T1124 System Time Discovery T1518 Software Discovery Collection T1005 Data from Local System T1113 Screen Capture Command and T1571 Non-Standard Port Control Exfiltration T1041 Exfiltration Over Command and Control Channel En el Apéndice B se puede consultar el mapa de tácticas y técnicas utilizadas por RedLine. REDLINE STEALER TLP: WHITE Página 14 de 25
3. MITIGACIÓN Medidas a nivel de endpoint Esta versión de RedLine viene con un certificado que no es válido, por lo que bloquear los binarios que no contengan un certificado válido podría prevenir la ejecución de este InfoStealer y de otro tipo de malware. No obstante, gran cantidad de desarrolladores y paquetes de software no distribuyen sus productos firmados, por lo que esta estrategia podría no resultar práctica en algunos casos. En concordancia con lo anterior, pero empleando mecanismos más generales, se recomienda que las organizaciones prohíban o, al menos, monitoricen la ejecución de binarios no conocidos previamente dentro de ella o aquellos no provenientes de fuentes confiables. Aunque imperfecto, por la forma en la que se crea y distribuye el software legítimo, esta medida puede servir como una alarma inicial para impulsar una mayor investigación y, posiblemente, limitar su propagación. Medidas a nivel de red Si se dispone de los mecanismos para inspeccionar el tráfico que ocurre dentro de la red, se debería identificar la transferencia de binarios desconocidos dentro de ella. Por otro lado, es altamente recomendable mantener una segmentación adecuada de la red para evitar desplazamientos laterales y que finalmente se alcancen los sistemas críticos de la organización. En adición y conociendo el comportamiento de esta familia de InfoStealer, se podría analizar el tráfico saliente y generar reglas que comprueben si los datos enviados contienen credenciales en texto plano procedentes de un proceso desconocido, de forma que, si se encuentra en ejecución y se intenta conectar con el exterior, se puede parar lo antes posible o detectar al menos la intrusión. Medidas y consideraciones adicionales Aunque ante un incidente de este tipo el foco principal sea restaurar los sistemas, se debe considerar que la ejecución del InfoStealer puede buscar como objetivo ocultar la verdadera razón de la intrusión. Por tanto, se recomienda mantener una buena política de almacenamiento de registros, para poder realizar una revisión posterior. De esta manera, se podrá verificar cuáles han sido las acciones tomadas por los atacantes en todo momento y si se trata realmente de un secuestro de información o de la necesidad de eliminar su rastro. REDLINE STEALER TLP: WHITE Página 15 de 25
4. INDICADORES DE COMPROMISO Los indicadores de compromiso y reglas de detección también están disponibles para su consulta y descarga en el repositorio público del Basque Cybersecurity Centre: https://github.com/basquecscentre/technical-reports Red 34[.]94[.]44[.]44[:]13743 Hashes SHA256: 1d91ab82e01d7682deecbeef7b441f26e405c0053e0354e92fdb5cfe61b097b0 8ba4bc75b11e8cadc66546349e15040a0eaa93d54e10b07aeb44191520564edd 0666eb42a0455c61bc4d906d75d5ec631b289506a20b73393b5026c419de337f YARA rules rule RedLine { strings: $mz = {4D 5A} $s1 = "IRemoteEndpoint" $s2 = "ITaskProcessor" $s3 = "ScannedFile" $s4 = "ScanningArgs" $s5 = "ScanResult" $s6 = "DownloadAndExecuteUpdate" $s7 = "OpenUpdate" $s8 = "CommandLineUpdate" $s9 = "TryCompleteTask" $s10 = "TryGetTasks" $s11 = "TryInitBrowsers" $s12 = "InstalledBrowsers" $s13 = "TryInitInstalledBrowsers" $s14 = "TryInitInstalledSoftwares" $s15 = "TryGetConnection" condition: ($mz at 0) and (10 of ($s*)) } REDLINE STEALER TLP: WHITE Página 16 de 25
5. REFERENCIAS ADICIONALES • https://cyber-anubis.github.io/malware%20analysis/redline/ • https://blogs.blackberry.com/en/2021/07/threat-thursday-redline- infostealer • https://www.proofpoint.com/us/blog/threat-insight/new-redline-stealer- distributed-using-coronavirus-themed-email-campaign • https://blog.cyble.com/2021/08/12/a-deep-dive-analysis-of-redline- stealer-malware/ • https://dev.doctormckay.com/topic/3831-importing-a-real-clients-sentry- file/ REDLINE STEALER TLP: WHITE Página 17 de 25
APÉNDICE A: CLAVES Y VALORES DESOFUSCADOS 4740 -> "String" 7327 -> "ProductName" 5285 -> "ChainingModeGCM" 4301 -> "https://api.ip.sb/ip" 5162 -> "BCryptDecrypt" 6023 -> "WanaLife" 7315 -> "CSDVersion" 8170 -> "SSystem.ELECT * FRSystem.OM WiSystem.n32_ProcSystem.ess WherSystem.e SessiSystem.onId='" 6012 -> "UNKNOWN" 4713 -> "ns1" 6006 -> "." 6004 -> "1" 4709 -> "|" 6000 -> "cmyredmyit_cmyardmys" 4207 -> "UNIQUE" 8151 -> "'" 4699 -> "Authorization" 5560 -> "3601674cd3f26c28e6d0a51cd6794cdf" 8145 -> "FileSystem" 5127 -> "BCryptCloseAlgorithmProvider" 5988 -> "Generic" 4304 -> "80" 5542 -> "localhost" 5540 -> "/" 7694 -> "SELESystem.ManagementCT * FRSystem.ManagementOM WiSystem.Managementn32_DisSystem.ManagementkDrivSystem.Managemen te" 7242 -> "'" 7254 -> "]" 7253 -> " [" 8114 -> "System." REDLINE STEALER TLP: WHITE Página 18 de 25
5527 -> "-" 5093 -> "serviceInterface.Extension" 5523 -> "net.tcp://" 5521 -> "-" 5951 -> "User" 5949 -> ":" 5946 -> "Pass" 7236 -> "ExecutablePath" 5937 -> "UNKNOWN" 4212 -> "string" 5931 -> "Host" 4205 -> "(" 5926 -> "Port" 4630 -> "FFskFw8pIC8wKi4DAxcAACszWBM=" 4196 -> "cstringmstringd" 5919 -> "my" 5485 -> "KeyDataBlob" 5914 -> "as21" 5912 -> " " 5907 -> "UNKNOWN" 5905 -> @"\" 5473 -> "BCrypt.BCryptImportKey() failed with status code:{0}" 7248 -> "Concat0 MConcatb oConcatr Concat0" 5470 -> "ObjectLength" 5038 -> "nSystem.CollectionspvoSystem.Collections*" 4294967295 -> "oXqEyXroOixu" 4595 -> "AdapterRAM" 7179 -> "SELEMemoryCT * FMemoryROM WiMemoryn32_OperMemoryatingSMemoryystem" 7334 -> "Unknown" 4160 -> "System.Collections" 5420 -> "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}" 5014 -> "oldChar" REDLINE STEALER TLP: WHITE Página 19 de 25
4484 -> "Name" 4147 -> "|" 4145 -> "." 5006 -> "ProldCharotonVoldCharPN" 4661 -> @"Yandex\YaAddon" 4139 -> "Height" 5857 -> "OFileInfopeFileInfora GFileInfoX StabFileInfole" 4128 -> "CopyFromScreen" 4127 -> "Process" 4987 -> @"\" 7380 -> "x32" 4119 -> "|" 5842 -> "Cryptography" 4979 -> @"%USERPserviceInterface.ExtensionROFILE%\ApserviceInterface.Extension pData\LocaserviceInterface.Extensionl" 4115 -> "\"" 4711 -> "UNKNWON" 4113 -> "|" 4974 -> "File.Write" 4109 -> "/ProcessC Process" 4804 -> "ToString" 4963 -> "Handler" 4981 -> "npvo*" 4528 -> @"SOFTWARE\Clients\StartMenuInternet" 5819 -> "Linq" 5814 -> @" ApGenericpDaGenericta\RGenericoamiGenericng\" 6038 -> "String.Replace" 5800 -> "OpLinqera GLinqX" 5367 -> "windows-1251" 5351 -> "BCryptImportKey" 5777 -> "FileInfo" 4483 -> @"SOFTWARE\WOW6432Node\Clients\StartMenuInternet" 4478 -> "NumberOfCores" REDLINE STEALER TLP: WHITE Página 20 de 25
5333 -> "BCryptSetProperty" 5323 -> "BCryptGetProperty" 7358 -> "_[" 4451 -> "Name" 7282 -> "Concat" 7400 -> @"SOFTWARE\Microsoft\Windows NT\CurrentVersion" 5301 -> "AuthTagLength" 7362 -> "{0}{1}{2}" 4436 -> "System.Windows.Forms" 4861 -> "asf" 7813 -> "SerialNumber" 4859 -> "*wallet*" 4857 -> @"\" 7931 -> "System.Management" 4141 -> "Width" 7404 -> "x86" 5713 -> "LEnvironmentogiEnvironmentn DatEnvironmenta" 4850 -> "\n" 4846 -> "ToString" 4844 -> "-" 4835 -> @"\" 4833 -> @"\" 5694 -> "System.Text" 4831 -> @"Yandex\YaAddon" 4399 -> "System.Linq" 5258 -> "AES" 4364 -> @"roSystem.Linqot\CISystem.LinqMV2" 5254 -> "Microsoft Primitive Provider" 5682 -> "CoCryptographyokieCryptographys" 7332 -> " " 4387 -> "SELSystem.LinqECT * FRSystem.LinqOM WinSystem.Linq32_VideoCoSystem.Linqntroller" 7832 -> "SELSystem.Text.RegularExpressionsECT * FRSystem.Text.RegularExpressionsOM REDLINE STEALER TLP: WHITE Página 21 de 25
Win32_PSystem.Text.RegularExpressionsrocess WSystem.Text.RegularExpressionshere SessSystem.Text.RegularExpressionsionId='" 6107 -> @"%USEWanaLifeRPROFILE%\AppDaWanaLifeta\LWanaLifeocal" 4735 -> "DxMjESI1PzcnNjUYLyoTXz8wIFIgBiRP" 4810 -> "-" 4638 -> "Birdman" 4326 -> "SELSystem.Windows.FormsECT * FRSystem.Windows.FormsOM WinSystem.Windows.Forms32_ProcSystem.Windows.Formsessor" 6089 -> "MANGO" 5657 -> "WSystem.Texteb DatSystem.Texta" 6087 -> "Environment" 7376 -> "x64" 7806 -> "Unknown Version" 5219 -> "BCryptOpenAlgorithmProvider" 7365 -> "Memory" 4778 -> @"%USERPFile.WriteROFILE%\AppFile.WriteData\RoamiFile.Writeng" 6069 -> "bcrstring.Replaceypt.dstring.Replacell" 5637 -> "Environment" 7789 -> @"shell\open\command" 5202 -> "string.Replace" 7355 -> "]" 4765 -> "Replace" 4333 -> "81" 6055 -> "String.Remove" 4334 -> "0.0.0.0" 4757 -> "string.Replace" 6046 -> "Def" 5614 -> "BCrypt.BCryptGetProperty() failed with status code:{0}" 4750 -> @"\" 6042 -> "Win" 4748 -> "_" 4746 -> "-" 5176 -> "BCryptDestroyKey" REDLINE STEALER TLP: WHITE Página 22 de 25
4744 -> "1" 4312 -> "UNKNOWN" 5451 -> "ChainingMode" REDLINE STEALER TLP: WHITE Página 23 de 25
APÉNDICE B: MAPA DE TÉCNICAS MITRE ATT&CK REDLINE STEALER TLP: WHITE Página 24 de 25
Reportar incidente Catálogo de ciberseguridad Si has detectado algún incidente de ¿Necesitas ayuda con tu ciberseguridad, avísanos para que tomemos ciberseguridad o la de tu empresa? las medidas oportunas para evitar su propagación. 900 104 891 incidencias@bcsc.eus
También puede leer