RedLine Stealer BCSC-MALWARE-REDLINE-STEALER TLP:WHITE - www.basquecybersecurity.eus - Basque Cybersecurity Centre

Página creada Hugo Garsea

Educación

Español

Gusta
Compartir
Incrustar
Pantalla completa
Diapositivas
Descargar HTML
Descargar PDF
Abuso

←

SEGUIR LEYENDO

→

Transcripción del contenido de la página

Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación

RedLine Stealer BCSC-MALWARE-REDLINE-STEALER TLP:WHITE - www.basquecybersecurity.eus - Basque Cybersecurity Centre

RedLine Stealer
         BCSC-MALWARE-REDLINE-STEALER

                         TLP:WHITE
                  www.basquecybersecurity.eus

                        Diciembre 2021

REDLINE STEALER            TLP: WHITE           Página 24 de 25

TABLA DE CONTENIDO
Sobre el BCSC ................................................................................................... 2
1. Resumen ejecutivo ......................................................................................... 3
2. Análisis técnico............................................................................................... 4
2.1. Flujo de infección ..................................................................................... 4
2.2. Operativa ................................................................................................. 5
2.3. Técnicas MITRE ATT&CK ..................................................................... 14
3. Mitigación ..................................................................................................... 15
4. Indicadores de compromiso ......................................................................... 16
Red ............................................................................................................... 16
Hashes.......................................................................................................... 16
YARA rules ................................................................................................... 16
5. Referencias adicionales ............................................................................... 17
Apéndice A: Claves y valores desofuscados .................................................... 18
Apéndice B: Mapa de técnicas MITRE ATT&CK .............................................. 24

Cláusula de exención de responsabilidad
El presente documento se proporciona con el objeto de divulgar las alertas que
el BCSC considera necesarias en favor de la seguridad de las organizaciones y
de la ciudadanía interesada. En ningún caso el BCSC puede ser considerado
responsable de posibles daños que, de forma directa o indirecta, de manera
fortuita o extraordinaria pueda ocasionar el uso de la información revelada, así
como de las tecnologías a las que se haga referencia tanto de la web de BCSC
como de información externa a la que se acceda mediante enlaces a páginas
webs externas, a redes sociales, a productos de software o a cualquier otra
información que pueda aparecer en la alerta o en la web de BCSC. En todo
caso, los contenidos de la alerta y las contestaciones que pudieran darse a
través de los diferentes correos electrónicos son opiniones y recomendaciones
acorde a los términos aquí recogidos no pudiendo derivarse efecto jurídico
vinculante derivado de la información comunicada.

Cláusula de prohibición de venta
Queda terminantemente prohibida la venta u obtención de cualquier beneficio
económico, sin perjuicio de la posibilidad de copia, distribución, difusión o
divulgación del presente documento.

REDLINE STEALER TLP: WHITE Página 1 de 25

SOBRE EL BCSC
El Centro Vasco de Ciberseguridad (Basque Cybersecurity Centre, BCSC) es la
entidad designada por el Gobierno Vasco para elevar el nivel de madurez de la
ciberseguridad en Euskadi.
Es una iniciativa transversal que se enmarca en la Agencia Vasca de
Desarrollo Empresarial (SPRI), sociedad dependiente del Departamento de
Desarrollo Económico, Sostenibilidad y Medio Ambiente del Gobierno Vasco.
Así mismo, involucra a otros tres Departamentos del Gobierno Vasco: el de
Seguridad, el de Gobernanza Pública y Autogobierno, y el de Educación, y a
cuatro agentes de la Red Vasca de Ciencia, Tecnología e Innovación: Tecnalia,
Vicomtech, Ikerlan y BCAM.

El BCSC es la entidad de referencia para el desarrollo de la ciberseguridad y
de la confianza digital de ciudadanos, empresas e instituciones públicas en
Euskadi, especialmente para los sectores estratégicos de la economía de la
región.
La misión del BCSC es por tanto promover y desarrollar la ciberseguridad en la
sociedad vasca, dinamizar la actividad empresarial de Euskadi y posibilitar la
creación de un sector profesional que sea referente. En este contexto se
impulsa la ejecución de proyectos de colaboración entre actores
complementarios en los ámbitos de innovación tecnológica, investigación y
transferencia tecnológica a la industria de fabricación avanzada y otros
sectores.
Así mismo, ofrece diferentes servicios en su rol como Equipo de Repuesta a
Incidentes (en adelante CERT, por sus siglas en inglés “Computer Emergency
Response Team”) y trabaja en el ámbito de la Comunidad Autónoma del País
Vasco para aumentar la capacidad de detección y alerta temprana de nuevas
amenazas, la respuesta y análisis de incidentes de seguridad de la información,
y el diseño de medidas preventivas para atender a las necesidades de la
sociedad vasca. Con el fin de alcanzar estos objetivos forma parte de
diferentes iniciativas orientadas a la gestión de incidentes de ciberseguridad:

REDLINE STEALER                  TLP: WHITE                        Página 2 de 25

1. RESUMEN EJECUTIVO
RedLine Stealer se trata de una familia de malware con características de
infostealer, es decir, su función principal consiste en la recolección de datos del
equipo infectado para enviarlos al servidor de comando y control (C2). Aun así,
también es capaz de ejecutar tareas de forma remota, pudiendo descargar y
ejecutar otro tipo de código malicioso.
Fue detectada por primera vez a principios del 2020, tratando de aprovechar
las circunstancias producidas por la pandemia a causa del coronavirus. Su
principal vía de distribución es mediante campañas de phishing, aunque
también ha sido detectado en aplicaciones de mensajería modificadas y en
sitios web maliciosos.
En concreto, esta familia es capaz de recolectar datos sobre los siguientes
elementos:
   •   Equipo y sistema operativo.
   •   Ficheros.
   •   Navegadores.
   •   Clientes VPN.
   •   Clientes FTP.
   •   Clientes de mensajería.
   •   Clientes de juegos.
   •   Carteras de criptomonedas.
Está desarrollado en C# y la mayoría de sus versiones poseen ofuscación de
código con el objetivo de dificultar su análisis.

REDLINE STEALER                   TLP: WHITE                           Página 3 de 25

2. ANÁLISIS TÉCNICO
2.1. Flujo de infección

    1. Email con      2. La víctima       3. Descarga   4. La víctima ejecuta
       enlace         accede a web         ejecutable        el malware
     malicioso         fraudulenta         malicioso

 7. Posible fase de             6. Recopilación de          5. El malware
  post-explotación            información bancaria          compromete
   bajo demanda                   y de la víctima             el sistema

La principal vía de distribución de RedLine es mediante campañas de Phishing,
aunque también ha sido detectado en aplicaciones de mensajería modificadas
y en sitios web maliciosos.
Se ha seleccionado una muestra p
Para el análisis se ha analizado una muestra con la firma SHA1
2B5A37BE761513A6FC0DD7B27690860519EDE138.

La muestra tiene un tamaño de 218KB y se encuentra ofuscada por el software
Babel.

REDLINE STEALER                       TLP: WHITE                       Página 4 de 25

2.2. Operativa
La operativa general se base en cuatro fases:
   •   Conexión.
   •   Obtención de la configuración.
   •   Recolección.
   •   Envío y ejecución de tareas.
RedLine utiliza clases y estructuras para llevar a cabo la recolección de la
información. También utiliza distintos tipos de tratamientos y descifrados de
cadenas con el objetivo de dificultar el análisis tal y como se puede observar a
continuación.

2.2.1. Descifrado de cadenas
La versión analizada posee varios mecanismos de descifrado de cadenas. El
primero de ellos se realiza mediante una tabla de hash. La función encargada
de realizar la operación es la renombrada a get_string_by_hash_table(int), que,
dada una clave en decimal, devuelve un valor en forma de cadena. En el
Apéndice A se pueden observar todas las correspondencias entre la clave y el
contenido de las cadenas asociado.
El segundo mecanismo está implementado en la función Decrypt de la clase
StringDecrypt. Esta función recibe una cadena en Base64 y una clave, de
forma que descifra la cadena en Base64 a la que aplica un XOR con la clave, y
descifra de nuevo el resultado de la operación en Base64.

El último mecanismo de cifrado utiliza los metadatos de los campos de una
clase para almacenar un valor que posteriormente lo trata y lo descifra
utilizando el algoritmo de cifrado simétrico AES. Estos datos se obtienen de
forma dinámica y serán mostrados a lo largo del análisis.

2.2.2. Primera fase
En la primera fase intenta contactar con el servidor de comando y control, C2.
Para ello descifra la dirección IP 34.94.44.44 y el puerto 13743 con la clave

REDLINE STEALER                  TLP: WHITE                         Página 5 de 25

“Birdman” y utiliza las funciones RequestConnection y TryGetConnection de la
clase EndpointConnection para obtener la conexión. Si se puede establecer, da
paso a la segunda fase.

2.2.3. Segunda fase
En esta fase, una vez se obtiene la conexión, se intenta descargar los
parámetros de configuración mediante la función TryGetArgs.

A continuación, se muestran los distintos parámetros y su funcionalidad.

Parámetro             Funcionalidad

ScanBrowsers          Indica si se deben buscar navegadores instalados.

ScanFiles             Indica si se deben buscar ficheros.

ScanFTP               Indica si se deben buscar clientes FTP.

ScanTelegram          Indica si se debe buscar el cliente de Telegram.

ScanDiscord           Indica si se debe buscar el cliente de Discord.

ScanVPN               Indica si se deben buscar los clientes de VPN.

ScanSteam             Indica si se debe buscar el cliente de Steam.

ScanWallets           Indica si se deben buscar carteras de criptomonedas.

REDLINE STEALER                    TLP: WHITE                             Página 6 de 25

ScanScreen            Indica si se deben tomar capturas de pantalla.

ScanFilesPaths        Lista de rutas donde buscar ficheros.

BlockedCountry        Lista de países donde no se debe seguir ejecutando.

BlockedIP             Lista de direcciones IP donde no se debe seguir ejecutando.

ScanChromePaths       Lista de rutas del navegador Google Chrome.

ScanGeckoPaths        Lista de rutas del navegador basado en Gecko.

Tras obtener los parámetros de configuración, da paso a la tercera fase.

2.2.3.1.          Tercera fase
Esta fase aúna la funcionalidad de recolección y exfiltración de la información.
En primer lugar, crea un objeto de la clase IdentitySenderBase utilizando la
función Create de la clase SenderFactory, pasándole como argumento la
cadena relacionada con la versión del código malicioso. También descifra y
almacena el identificador de la botnet del malware que, en este caso, se
corresponde con “Wellsfargo bank”.

A continuación, se puede observar como el objeto creado es de la clase
PartsSender ya que esta clase hereda directamente de la clase
IdentitySenderBase.

REDLINE STEALER                    TLP: WHITE                           Página 7 de 25

Este objeto es el encargado de ejecutar todas las funciones de recolección y de
enviar toda la información recolectada.

A continuación, se describen los mecanismos de recolección de cada una de
las funciones, organizados por categorías.

2.2.3.2.          Información del equipo y del sistema operativo
Para obtener la información referente al equipo y al sistema operativo, hace
uso de la clase SystemInfoHelper. Esta clase emplea WMI a través de objetos
de la clase ManagementObjectSearcher para realizar consultas y poder
enumerar programas instalados, procesos en ejecución, programas de
seguridad y navegadores instalados. En la siguiente tabla se muestran las
claves que utiliza para realizar las consultas y obtener la información.

REDLINE STEALER                    TLP: WHITE                      Página 8 de 25

Elemento          Clave

Programas         HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall

Seguridad         root\SecurityCenter:SELECT * FROM AntiVirusProduct

Navegadores       HKLM/Software/Clients/StartMenuInternet

Procesos          SELECT * FROM Win32_Process    WHERE   SessionID=(id    sesión
                  proceso malware)

También es capaz de obtener información del hardware del equipo, la zona
horaria, la versión y número de serie del sistema operativo, y los idiomas
disponibles.

2.2.3.3.          Ficheros
Para obtener los ficheros hace uso de las clases FileScanning y FileSearcher.
Las rutas predefinidas para buscar los ficheros son las siguientes:

\Windows\

\Program Files\

\Program Files (x86)\

\Program Data\

Las opciones y patrones de búsqueda se obtienen de los parámetros de
configuración.

Por cada fichero que encuentra, almacena sus metadatos en una estructura y
lo copia en el directorio %TEMP% para su posterior exfiltración.

2.2.3.4.          Navegadores
El código malicioso busca navegadores basados en Chromium (Google
Chrome) y en Gecko (Firefox). Los datos que pretende recolectar son
credenciales de usuario, credenciales bancarias, cookies y datos
autocompletados.
Como se puede observar en la siguiente imagen, las rutas de búsqueda de los
ficheros de los navegadores vienen facilitadas por los parámetros obtenidos en
la configuración (settings).

REDLINE STEALER                    TLP: WHITE                          Página 9 de 25

También se apoya en las clases SqliteMasterEntry y DbContext para obtener
los datos de las bases de datos que emplean los navegadores.

2.2.3.5.          VPN
Los clientes VPN que tiene como objetivo son: OpenVPN y NordVPN. En
ambos busca en el directorio “%USERPROFILE%\AppData\Local” y
posteriormente busca el directorio donde se encuentre el ejecutable de cada
cliente. En el caso de OpenVPN busca los ficheros con extensión “*.ovpn”
(valor de la clave 4981 del Apéndice A).

En el caso de NordVPN, busca el fichero user.config y posteriormente trata de
descifrar las credenciales utilizando la función DecryptBlob de la clase
CryptoHelper, que internamente utiliza la función Unprotect de la clase
System.Security.Cryptography.ProtectedData.

2.2.3.6.          Filezilla
El código malicioso busca el cliente de FileZilla para obtener las credenciales
de acceso. Estas credenciales se componen de una URL junto al nombre de
usuario y la contraseña. Para ello busca los siguientes ficheros:

\FileZilla\recentservers.xml

\FileZilla\sitemanager.xml

REDLINE STEALER                  TLP: WHITE                       Página 10 de 25

En la siguiente imagen se puede observar cómo obtiene el contenido de los
campos Host (5931), Port (5926), User (5951) y Pass (5946) mediante la
función InnerText.

2.2.3.7.          Telegram
Con el fin de localizar la ruta donde se encuentra instalado Telegram, el código
malicioso utiliza la función GetProcessByName de la clase SystemInfoHelper.
Esta función recibe el nombre del ejecutable, en este caso Telegram.exe, y
ejecuta una consulta sobre el ExecutablePath a través de WMI. Tras localizarla,
busca el directorio tdata, que es el que almacena los datos de sesión.

2.2.3.8.          Discord
RedLine busca los tokens correspondientes a la cuenta del cliente de Discord.
Este tipo de tokens son una serie de caracteres alfanuméricos que sirven para
autenticarse y cifrar la comunicación con los servidores. Para obtenerlos, busca
en el directorio \AppData\Roaming\Discord\LocalStorage\ el fichero cuyo
nombre coincida con leveldb que es el que los contiene.

2.2.3.9.          Steam
Steam es un servicio de distribución de videojuegos digital creado por Valve. El
código malicioso busca los ficheros con nombre *ssfn* que se corresponden
con el fichero Steam Sentry File utilizado para almacenar las credenciales.
Al existir diversos ficheros *ssfn*, para encontrar el correcto sentry file, busca el
fichero config.vdf que es el que contiene la referencia correcta al fichero
buscado.

REDLINE STEALER                    TLP: WHITE                          Página 11 de 25

2.2.3.10.         Carteras de criptomonedas
RedLine emplea distintos patrones de búsqueda predefinidos con la finalidad
de encontrar las carteras relacionadas con las siguientes criptomonedas:
Armory, Exodus, Ethereum, Monero, Atomic, BinanceChain, Jaxx, Electrum y
Guarda. En esta versión no se han detectado clases propias para cada una de
las criptomonedas. En cambio, se ha detectado una clase con nombre
AllWallets que busca todos los ficheros con extensión *.wallet.
Tras terminar de recolectar todos los datos, el objeto creado de tipo
IdentitySenderBase procede a enviarlos al C2.

Antes de contactar con el C2 obtiene información acerca de la dirección IP
pública del equipo mediante el uso de la API de https://api.ip.sb/ip.

También obtiene información de la IP privada mediante el uso de la clase
NetworkInterface. Una vez obtenida la información, comprueba que los datos
se hayan recolectado correctamente y los envía.

2.2.4. Cuarta fase
En esta cuarta y última, fase, el código malicioso tratará de pedirle al C2 tareas
adicionales a realizar. Si existieran tareas, procedería a realizarlas.

REDLINE STEALER                   TLP: WHITE                         Página 12 de 25

Para ello, emplea la función ReleaseUpdates de la clase TaskResolver.

Esta función permite la ejecución remota de comandos a través del CMD y la
descarga y ejecución de otros ficheros a través de un cliente web.

Para realizar la tarea a través del CMD utiliza la función
System.Diagnostics.Process.Start(new ProcessStartInfo(“cmd /C” + tarea). Por
otro lado, y para finalizar el análisis, para descargar un fichero utiliza
WebClient().DownloadFile() y para ejecutar el fichero descargado
System.Diagnostics.Process.Start(new ProcessStartInfo(ruta fichero).

REDLINE STEALER                 TLP: WHITE                       Página 13 de 25

2.3. Técnicas MITRE ATT&CK

 Initial Access   T1192 Spearphishing Link

                  T1193 Spearphishing Attachment

  Execution       T1204 User Execution

                  T1003 Credential Dumping

                  T1081 Credentials in Files
  Credential
    Access        T1214 Credentials in Registry

                  T1503 Credentials from Web Browsers

                  T1539 Steal Web Session Cookie

                  T1057 Process Discovery

                  T1063 Security Software Discovery

                  T1082 System Information Discovery
  Discovery
                  T1087 Account Discovery

                  T1124 System Time Discovery

                  T1518 Software Discovery

  Collection      T1005 Data from Local System

                  T1113 Screen Capture

Command and T1571 Non-Standard Port
   Control

  Exfiltration    T1041 Exfiltration Over Command and Control Channel

En el Apéndice B se puede consultar el mapa de tácticas y técnicas utilizadas
por RedLine.

REDLINE STEALER                  TLP: WHITE                      Página 14 de 25

3. MITIGACIÓN
Medidas a nivel de endpoint
Esta versión de RedLine viene con un certificado que no es válido, por lo que
bloquear los binarios que no contengan un certificado válido podría prevenir la
ejecución de este InfoStealer y de otro tipo de malware. No obstante, gran
cantidad de desarrolladores y paquetes de software no distribuyen sus
productos firmados, por lo que esta estrategia podría no resultar práctica en
algunos casos.
En concordancia con lo anterior, pero empleando mecanismos más generales,
se recomienda que las organizaciones prohíban o, al menos, monitoricen la
ejecución de binarios no conocidos previamente dentro de ella o aquellos no
provenientes de fuentes confiables. Aunque imperfecto, por la forma en la que
se crea y distribuye el software legítimo, esta medida puede servir como una
alarma inicial para impulsar una mayor investigación y, posiblemente, limitar su
propagación.
Medidas a nivel de red
Si se dispone de los mecanismos para inspeccionar el tráfico que ocurre dentro
de la red, se debería identificar la transferencia de binarios desconocidos
dentro de ella.
Por otro lado, es altamente recomendable mantener una segmentación
adecuada de la red para evitar desplazamientos laterales y que finalmente se
alcancen los sistemas críticos de la organización.
En adición y conociendo el comportamiento de esta familia de InfoStealer, se
podría analizar el tráfico saliente y generar reglas que comprueben si los datos
enviados contienen credenciales en texto plano procedentes de un proceso
desconocido, de forma que, si se encuentra en ejecución y se intenta conectar
con el exterior, se puede parar lo antes posible o detectar al menos la intrusión.
Medidas y consideraciones adicionales
Aunque ante un incidente de este tipo el foco principal sea restaurar los
sistemas, se debe considerar que la ejecución del InfoStealer puede buscar
como objetivo ocultar la verdadera razón de la intrusión. Por tanto, se
recomienda mantener una buena política de almacenamiento de registros, para
poder realizar una revisión posterior. De esta manera, se podrá verificar cuáles
han sido las acciones tomadas por los atacantes en todo momento y si se trata
realmente de un secuestro de información o de la necesidad de eliminar su
rastro.

REDLINE STEALER                   TLP: WHITE                         Página 15 de 25

4. INDICADORES DE COMPROMISO
Los indicadores de compromiso y reglas de detección también están
disponibles para su consulta y descarga en el repositorio público del Basque
Cybersecurity Centre:
https://github.com/basquecscentre/technical-reports

Red
34[.]94[.]44[.]44[:]13743

Hashes
SHA256:
1d91ab82e01d7682deecbeef7b441f26e405c0053e0354e92fdb5cfe61b097b0
8ba4bc75b11e8cadc66546349e15040a0eaa93d54e10b07aeb44191520564edd
0666eb42a0455c61bc4d906d75d5ec631b289506a20b73393b5026c419de337f

YARA rules
rule RedLine
{
        strings:
                $mz = {4D 5A}
                $s1 = "IRemoteEndpoint"
                $s2 = "ITaskProcessor"
                $s3 = "ScannedFile"
                $s4 = "ScanningArgs"
                $s5 = "ScanResult"
                $s6 = "DownloadAndExecuteUpdate"
                $s7 = "OpenUpdate"
                $s8 = "CommandLineUpdate"
                $s9 = "TryCompleteTask"
                $s10 = "TryGetTasks"
                $s11 = "TryInitBrowsers"
                $s12 = "InstalledBrowsers"
                $s13 = "TryInitInstalledBrowsers"
                $s14 = "TryInitInstalledSoftwares"
                $s15 = "TryGetConnection"

         condition:
         ($mz at 0) and (10 of ($s*))
}

REDLINE STEALER                  TLP: WHITE                     Página 16 de 25

5. REFERENCIAS ADICIONALES
   •   https://cyber-anubis.github.io/malware%20analysis/redline/
   •   https://blogs.blackberry.com/en/2021/07/threat-thursday-redline-
       infostealer
   •   https://www.proofpoint.com/us/blog/threat-insight/new-redline-stealer-
       distributed-using-coronavirus-themed-email-campaign
   •   https://blog.cyble.com/2021/08/12/a-deep-dive-analysis-of-redline-
       stealer-malware/
   •   https://dev.doctormckay.com/topic/3831-importing-a-real-clients-sentry-
       file/

REDLINE STEALER                  TLP: WHITE                        Página 17 de 25

APÉNDICE A: CLAVES Y VALORES DESOFUSCADOS
4740 -> "String"
7327 -> "ProductName"
5285 -> "ChainingModeGCM"
4301 -> "https://api.ip.sb/ip"
5162 -> "BCryptDecrypt"
6023 -> "WanaLife"
7315 -> "CSDVersion"
8170 -> "SSystem.ELECT * FRSystem.OM WiSystem.n32_ProcSystem.ess
WherSystem.e SessiSystem.onId='"
6012 -> "UNKNOWN"
4713 -> "ns1"
6006 -> "."
6004 -> "1"
4709 -> "|"
6000 -> "cmyredmyit_cmyardmys"
4207 -> "UNIQUE"
8151 -> "'"
4699 -> "Authorization"
5560 -> "3601674cd3f26c28e6d0a51cd6794cdf"
8145 -> "FileSystem"
5127 -> "BCryptCloseAlgorithmProvider"
5988 -> "Generic"
4304 -> "80"
5542 -> "localhost"
5540 -> "/"
7694 -> "SELESystem.ManagementCT * FRSystem.ManagementOM
WiSystem.Managementn32_DisSystem.ManagementkDrivSystem.Managemen
te"
7242 -> "'"
7254 -> "]"
7253 -> " ["
8114 -> "System."

REDLINE STEALER                  TLP: WHITE           Página 18 de 25

5527 -> "-"
5093 -> "serviceInterface.Extension"
5523 -> "net.tcp://"
5521 -> "-"
5951 -> "User"
5949 -> ":"
5946 -> "Pass"
7236 -> "ExecutablePath"
5937 -> "UNKNOWN"
4212 -> "string"
5931 -> "Host"
4205 -> "("
5926 -> "Port"
4630 -> "FFskFw8pIC8wKi4DAxcAACszWBM="
4196 -> "cstringmstringd"
5919 -> "my"
5485 -> "KeyDataBlob"
5914 -> "as21"
5912 -> " "
5907 -> "UNKNOWN"
5905 -> @"\"
5473 -> "BCrypt.BCryptImportKey() failed with status code:{0}"
7248 -> "Concat0 MConcatb oConcatr Concat0"
5470 -> "ObjectLength"
5038 -> "nSystem.CollectionspvoSystem.Collections*"
4294967295 -> "oXqEyXroOixu"
4595 -> "AdapterRAM"
7179       ->       "SELEMemoryCT                      *         FMemoryROM
WiMemoryn32_OperMemoryatingSMemoryystem"
7334 -> "Unknown"
4160 -> "System.Collections"
5420 -> "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}"
5014 -> "oldChar"

REDLINE STEALER                  TLP: WHITE                         Página 19 de 25

4484 -> "Name"
4147 -> "|"
4145 -> "."
5006 -> "ProldCharotonVoldCharPN"
4661 -> @"Yandex\YaAddon"
4139 -> "Height"
5857 -> "OFileInfopeFileInfora GFileInfoX StabFileInfole"
4128 -> "CopyFromScreen"
4127 -> "Process"
4987 -> @"\"
7380 -> "x32"
4119 -> "|"
5842 -> "Cryptography"
4979                                                                 ->
@"%USERPserviceInterface.ExtensionROFILE%\ApserviceInterface.Extension
pData\LocaserviceInterface.Extensionl"
4115 -> "\""
4711 -> "UNKNWON"
4113 -> "|"
4974 -> "File.Write"
4109 -> "/ProcessC Process"
4804 -> "ToString"
4963 -> "Handler"
4981 -> "npvo*"
4528 -> @"SOFTWARE\Clients\StartMenuInternet"
5819 -> "Linq"
5814 -> @" ApGenericpDaGenericta\RGenericoamiGenericng\"
6038 -> "String.Replace"
5800 -> "OpLinqera GLinqX"
5367 -> "windows-1251"
5351 -> "BCryptImportKey"
5777 -> "FileInfo"
4483 -> @"SOFTWARE\WOW6432Node\Clients\StartMenuInternet"
4478 -> "NumberOfCores"
REDLINE STEALER                  TLP: WHITE                 Página 20 de 25

5333 -> "BCryptSetProperty"
5323 -> "BCryptGetProperty"
7358 -> "_["
4451 -> "Name"
7282 -> "Concat"
7400 -> @"SOFTWARE\Microsoft\Windows NT\CurrentVersion"
5301 -> "AuthTagLength"
7362 -> "{0}{1}{2}"
4436 -> "System.Windows.Forms"
4861 -> "asf"
7813 -> "SerialNumber"
4859 -> "*wallet*"
4857 -> @"\"
7931 -> "System.Management"
4141 -> "Width"
7404 -> "x86"
5713 -> "LEnvironmentogiEnvironmentn DatEnvironmenta"
4850 -> "\n"
4846 -> "ToString"
4844 -> "-"
4835 -> @"\"
4833 -> @"\"
5694 -> "System.Text"
4831 -> @"Yandex\YaAddon"
4399 -> "System.Linq"
5258 -> "AES"
4364 -> @"roSystem.Linqot\CISystem.LinqMV2"
5254 -> "Microsoft Primitive Provider"
5682 -> "CoCryptographyokieCryptographys"
7332 -> " "
4387       ->      "SELSystem.LinqECT          *        FRSystem.LinqOM
WinSystem.Linq32_VideoCoSystem.Linqntroller"
7832        ->         "SELSystem.Text.RegularExpressionsECT              *
FRSystem.Text.RegularExpressionsOM
REDLINE STEALER                   TLP: WHITE                 Página 21 de 25

Win32_PSystem.Text.RegularExpressionsrocess
WSystem.Text.RegularExpressionshere
SessSystem.Text.RegularExpressionsionId='"
6107 -> @"%USEWanaLifeRPROFILE%\AppDaWanaLifeta\LWanaLifeocal"
4735 -> "DxMjESI1PzcnNjUYLyoTXz8wIFIgBiRP"
4810 -> "-"
4638 -> "Birdman"
4326 -> "SELSystem.Windows.FormsECT * FRSystem.Windows.FormsOM
WinSystem.Windows.Forms32_ProcSystem.Windows.Formsessor"
6089 -> "MANGO"
5657 -> "WSystem.Texteb DatSystem.Texta"
6087 -> "Environment"
7376 -> "x64"
7806 -> "Unknown Version"
5219 -> "BCryptOpenAlgorithmProvider"
7365 -> "Memory"
4778 -> @"%USERPFile.WriteROFILE%\AppFile.WriteData\RoamiFile.Writeng"
6069 -> "bcrstring.Replaceypt.dstring.Replacell"
5637 -> "Environment"
7789 -> @"shell\open\command"
5202 -> "string.Replace"
7355 -> "]"
4765 -> "Replace"
4333 -> "81"
6055 -> "String.Remove"
4334 -> "0.0.0.0"
4757 -> "string.Replace"
6046 -> "Def"
5614 -> "BCrypt.BCryptGetProperty() failed with status code:{0}"
4750 -> @"\"
6042 -> "Win"
4748 -> "_"
4746 -> "-"
5176 -> "BCryptDestroyKey"

REDLINE STEALER                  TLP: WHITE                        Página 22 de 25

4744 -> "1"
4312 -> "UNKNOWN"
5451 -> "ChainingMode"

REDLINE STEALER          TLP: WHITE   Página 23 de 25

APÉNDICE B: MAPA DE TÉCNICAS MITRE ATT&CK

              REDLINE STEALER   TLP: WHITE   Página 24 de 25

Reportar incidente                          Catálogo de ciberseguridad
Si has detectado algún incidente de         ¿Necesitas       ayuda      con      tu
ciberseguridad, avísanos para que tomemos   ciberseguridad o la de tu empresa?
las medidas oportunas para evitar su
propagación.

             900 104 891

        incidencias@bcsc.eus

También puede leer