ذكاء البرامج الضارة

التحليل الفني لسارق الخط الأحمر

November 17, 2022

دقيقة

جدول المحتوى

مثال H2

المؤلف: أناندشوار أونيكريشنان
المحرر: سوشيتا كاتيرا

ملخص

RedLine هو سارق معلومات يعمل على نموذج MaaS (البرامج الضارة كخدمة). هذا السارق متاح في المنتديات السرية، ويتم تسعيره وفقًا لاحتياجات المستخدمين.

مثل العديد من برامج البرامج الضارة للسرقة، لا يوفر مطورو Redline برامج التشفير/برامج التحميل؛ الأمر متروك للمشغل لاختيار واحد. في الآونة الأخيرة كلاود سيكبدأ القياس عن بُعد في نشر سارق RedLine عبر Regsvcs.exe على أنظمة Windows. باستخدام تقنية تفريغ العملية، يستبدل المحمل محتوى عملية Regsvcs.exe، التي يتم إنتاجها في الحالة المعلقة. بعد هذا الحدث، يتم تعيين RedLine PE (القابل للتنفيذ المحمول) في عملية Regsvcs ويتم التلاعب بسياقات الخيط للإشارة إلى نقطة دخول السارق، مما يسمح للبرامج الضارة بالتنكر كعملية مشروعة على النظام. يغطي هذا التقرير التحليل الفني لـ RedLine Stealer، المكتوب في C #/.NET وهو برنامج ضار للسلع شائع جدًا في المنتديات السرية.

ميزات السارق

يسرق بيانات المستخدم مثل معلومات بطاقة الائتمان وبيانات تسجيل الدخول والتعبئة التلقائية من المتصفحات المثبتة.
يستهدف ملفات المستخدم في سطح المكتب و المستندات أدلة جهاز الكمبيوتر الخاص بالضحية. يبحث ملتقط الملفات تحديدًا عن البيانات المتعلقة بالتشفير مثل المحافظ والملفات المتعلقة بالبذور.
يتم استهداف المعلومات المخزنة في المحافظ وسرقتها بواسطة البرامج الضارة، والتي تستهدف 10 محافظ تشفير وأكثر من 40 امتدادًا لمتصفح المحفظة.
يلتقط لقطة شاشة لسطح مكتب الضحية.
يسرق البيانات الخاصة بالمستخدم المخزنة بواسطة تطبيق FileZilla FTP وتطبيقات VPN المثبتة على النظام المستهدف.
يجمع رموز Discord ويسرق البيانات الخاصة بالمستخدم المخزنة في تطبيق Steam.
قادر على تنفيذ الأوامر والحمولات الإضافية على الأنظمة المخترقة.

تكوين مدمج

يحتوي RedLine Stealer على تكوين مضمن في شكل فئة تسمى الحجج، تحتوي على الحقول التالية:

الحقلوصفالملكية الفكرية

C2 IP والمنفذ المستخدم للاتصال.
محمي بواسطة نظام ترميز مخصص.

هوية شخصية

معرف خاص بالضحية يُستخدم لتحديد الحملة.
محمي بواسطة نظام ترميز مخصص.

رسالة

تستخدم في النافذة المنبثقة (التي تمت تغطيتها في الأقسام اللاحقة).
محمي بواسطة نظام ترميز مخصص.

مفتاح

تستخدم لفك تشفير البيانات.

الإصدار

إصدار البرامج الضارة، يُستخدم لإنشاء مثيل لفئة السارق الأساسية.

Built-in configuration used by the stealer — تكوين مدمج يستخدمه السارق

يتضمن الترميز المستخدم من قبل البرامج الضارة القاعدة 64 و XOR أنظمة الترميز، حيث:

يتم إعطاء بيانات base64 التي تم فك تشفيرها إلى طريقة فك تشفير XOR.
ثم يتم إعطاء بيانات XOR التي تم فك تشفيرها مرة أخرى إلى طريقة فك تشفير base64.
بيانات base64 النهائية التي تم فك تشفيرها هي البيانات القابلة للقراءة التي تستخدمها البرامج الضارة لاتصالات C2.

Decoding method used to decode the configuration — طريقة فك التشفير المستخدمة لفك تشفير التكوين

يتم استخدام ترميز XOR بواسطة البرامج الضارة. يتم تمييز كل حرف من بيانات base64 التي تم فك تشفيرها بنتيجة العملية (each_key_char% key.Length).

فحص المنطقة

يبدأ RedLine التنفيذ عن طريق التحقق أولاً من منطقة الضحية المخترقة.

Region check function in RedLine stealer — وظيفة التحقق من المنطقة في RedLine Stealer

تحتفظ البرامج الضارة بقائمة ببلدان رابطة الدول المستقلة، حيث إذا كانت الضحية تنتمي إلى أي بلد في القائمة، يفشل الفحص ويتم إنهاء التنفيذ. هذا سلوك شائع جدًا في برامج البرامج الضارة التي طورها الخصوم الذين ينتمون إلى بلدان رابطة الدول المستقلة.

Excluded Regions from infection — المناطق المستبعدة من العدوى

تكوين C2

بعد التحقق الأولي من المنطقة، يقوم السارق بجلب تكوين C2 من IP الذي تم الحصول عليه من خلال التكوين المدمج. سيتم تغطية التفاصيل المتعلقة بالاتصال في التواصل قسم من هذا التقرير.

Configuration fetched from C2 — تم جلب التكوين من C2

يحدد التكوين سلوك السارق. بعد تلقي التكوين، تقوم البرامج الضارة بمعالجته وتخزينه في كائن يسمى الإعدادات.

Parsed C2 configuration — تكوين CO2 الذي تم تحليله

يحتوي تكوين File grabber على مسار دليل للتحقق من البيانات متبوعًا بنمط للعثور على البيانات في الأدلة المذكورة. في هذه الحالة، تقوم البرامج الضارة بسرقة جميع الملفات النصية والمستندات والملفات التي تحتوي على مفاتيح ومحافظ وبذور كسلسلة فرعية.

File grabber configuration — تكوين ملتقط الملفات

تستهدف العديد من التطبيقات سرقة بيانات المستخدم، بما في ذلك المتصفحات ومشغلات الألعاب وتطبيقات VPN.

Applications targeted by RedLine — التطبيقات التي تستهدفها RedLine

يتم استهداف العديد من محافظ العملات المشفرة من قبل السارق. يحتوي التكوين على اسم المحفظة ومتغير البيئة للبحث من دليل بيانات المستخدم للتطبيق المقابل.

Targeted crypto wallet applications — تطبيقات محفظة التشفير المستهدفة

إنشاء مثيل للسارق

يتم تنفيذ الوظيفة الأساسية لـ RedLine Stealer في فئتين: مرسل كامل و مرسل الأجزاء. هذه ليست مترابطة. تقوم البرامج الضارة بإنشاء فئة واحدة فقط بناءً على التحقق من إصدار البرامج الضارة. يسترد السارق معرف الإصدار المخزن في التكوين المدمج ويتم تنفيذ FullinFosender بواسطة إصدارات البرامج الضارة أعلاه 1. لا يوجد فرق وظيفي بين الفئتين وكلاهما يتبع نفس المنطق تمامًا.

Classes that implement stealer functions — الفصول التي تنفذ وظائف السارق

طرق مختلفة تنفذ السارق. القدرة الإضافية، خارج نطاق FullinfoSender/PartsSender، هي تنفيذ الأمر/الحمولة التي توفرها فئة TaskResolver والتي سيتم تناولها في الأقسام التالية.

Methods implemented by class FullInfoSende — الأساليب التي تنفذها فئة FullinFosende

سرقة البيانات

الربط الديناميكي لوقت التشغيل

يمتلك السارق القدرة على تحميل ملفات DLL (مكتبات الارتباط الديناميكي) ديناميكيًا في وقت التشغيل لأداء أنشطة السرقة المختلفة. واجهات برمجة تطبيقات Win32 تحميل مكتبة و احصل على عنوان PROc يتم تعريفها باستخدام Pinvoke. خدمات استدعاء النظام الأساسي (P/Invoke) هي إحدى ميزات تطبيقات البنية التحتية للغة الشائعة (CLI) التي تمكن التعليمات البرمجية المُدارة من استدعاء الكود الأصلي. يساعد ذلك البرامج الضارة على تحميل وحدة DLL محددة في الذاكرة وحل عنوان وظيفة معينة داخل DLL المحمل لاحقًا.

Pinvoke: LoadLibrary and GetProcAddress for run-time dynamic linking — Pinvoke: LoadLibrary وعنوان getProcaddress للربط الديناميكي في وقت التشغيل

يظهر التحميل الديناميكي لملفات DLL في مكانين، أحدهما داخل وظيفة تستخدمها البرامج الضارة لقراءة البيانات المخزنة الخاصة بالمتصفح، والآخر داخل وظيفة مسؤولة عن التقاط لقطة شاشة لسطح مكتب الضحية. يتم تحميل البرامج الضارة bcrypt.dll لإجراء عمليات تشفير مختلفة على بيانات المتصفح أثناء إجراء سرقة البيانات.

تم حل الوظائف التالية في bcrypt.dll:

مزود خوارزمية BCRYPTOPEN
مزود خوارزمية إغلاق التشفير من B
فك تشفير BCRYPT/التشفير
مفتاح تدمير التشفير B
بي كريبتجيت بروبرتي
خاصية بي كريبتسيت
مفتاح استيراد Bcrypt

Loading of bcrypt.dll — تحميل ملف bcrypt.dll

يتم تحميل البرامج الضارة gdi32.dll لإجراء معالجة متعلقة بالصورة. هذا ملف DLL شائع يساء استخدامه من قبل السارق والبرامج الضارة الأخرى لإجراء التقاط الشاشة. ال احصل على أغطية الأجهزة يتم حل الوظيفة بواسطة السارق.

Loading of gdi32.dll — تحميل ملف gdi32.dll

سيتم تناول المزيد من المعلومات المتعلقة بالغرض من استخدام الوظائف المختلفة التي تم تناولها في الأقسام التالية.

معلومات النظام

يستخدم السارق أجهزة إدارة Windows (WMI) لاسترداد معلومات النظام الخاصة بالضحية. يتم استرداد المعلومات التالية بواسطة البرامج الضارة:

اسم المستخدم
حجم الشاشة
لغات الإدخال وإصدار Windows
معلومات المعالج ووحدة معالجة الرسومات والذاكرة
المتصفحات المثبتة
البرامج المثبتة
حلول مكافحة الفيروسات المثبتة
عمليات التشغيل
اللغات المتاحة

استنادًا إلى المعلومات التي تم جمعها، يتم إنشاء ملف تعريف مستخدم وإرساله إلى C2.

تم إرسال ملف تعريف المستخدم إلى C2

بيانات المتصفح

يهتم السارق بالبيانات التالية المخزنة بواسطة المتصفح:

ملفات تعريف الارتباط
الملء التلقائي
كلمات المرور المخزنة
معلومات بطاقة الائتمان المخزنة

مثل أي سارق، يقوم RedLine بالعمليات التالية لسرقة البيانات:

يسترد ملف قاعدة بيانات SQL الهدف المخزن بواسطة المستعرض.

ملفات قاعدة البيانات الهامة التي يستهدفها السارقكلمات المرور C:\Users\user\AppData\Local\Google\Chrome\User البيانات\ الافتراضي\ ملفات تعريف الارتباط\ بيانات تسجيل الدخول\ التعبئة التلقائية C:\Users\user\AppData\Local\Google\Chrome\User البيانات\ الافتراضي\ بيانات الويب/بطاقات الائتمان\ البيانات\ الافتراضي\ ملفات تعريف الارتباط\ البيانات\ الإعدادات الافتراضية\ الشبكة\ ملفات تعريف الارتباط C:\Users\user\AppData\Local\Google\Chrome\User C:\Users\user\AppData\Local\Google\Chrome\User

يسرق مفتاح فك التشفير المخزن في ملف «Local State» للمتصفح والذي يستخدم لحماية البيانات المخزنة في قواعد البيانات المذكورة في دليل بيانات المستخدم.
ثم تنتقل البرامج الضارة إلى فتح قاعدة البيانات وفك تشفير البيانات.
ثم يتم إرسال البيانات مرة أخرى إلى C2.

Methods to steal browser data — طرق سرقة بيانات المتصفح

يتم إنشاء استعلامات SQL لجلب البيانات من قاعدة البيانات.

Module implementing database interaction and SQL command generation — الوحدة التي تنفذ تفاعل قاعدة البيانات وإنشاء أوامر SQL

يقوم السارق بتنفيذ فصل دراسي مخصص لمعالجة متصفح Mozilla Firefox. ومن المثير للاهتمام أنه يتم تعداد ملفات تعريف الارتباط فقط.

Mozilla stealer methods for Firefox — طرق موزيلا ستيلر لمتصفح فايرفوكس

فايل جرابر

بعد تحليل تكوين C2، تكون قيمة معرف 10 يتم عرض الحقل الذي يحتوي على أدلة سطح مكتب المستخدم والمستندات متبوعة بنمط بحث. يتم استخدام هذه المعلومات من قبل البرامج الضارة للبحث عن الملفات التي تطابق النمط. إنه يسرق جميع الملفات النصية والمستندات إلى جانب تلك التي تحتوي على النمط «المفتاح» و «المحفظة» و «البذور».

تقوم الوظيفة التالية بتنفيذ البحث. تأخذ هذه الوظيفة قيم Id10 وتستدعي أداة البحث عن الملفات طريقة.

Method implementing file grabber — طريقة تنفيذ ملتقط الملفات

المحافظ والإضافات

يحتوي تكوين C2 على قائمة بأسماء تطبيقات المحفظة التي يبحث عنها السارق، متبوعة بتفاصيل الدليل (%AppData%).

المحافظ المستهدفة من قبل السارقمخزن الأسلحة: إلكتروم ذري، إيثريوم، ميكسودوس، باينانس، ميغواردجا إكس مونيرو

تقوم الطريقة التي تقوم بعملية السرقة بفحص دليل %AppData% للمحافظ المذكورة في تكوين C2. في حالة العثور عليها، يتم جلب ملفات «wallet.dat» وإرسالها إلى C2.

The method that generates directory path for wallet stealing — الطريقة التي تنشئ مسار الدليل لسرقة المحفظة

يتم أيضًا تعداد ملحقات المحفظة المثبتة في المتصفحات من قبل السارق. <extension_name>يحتوي السارق على مصفوفة base64 مشفرة تحتوي على ملحقات متصفح المحفظة بالتنسيق «<extension_folder_id>|». يتم جلب البيانات الهامة المخزنة بواسطة الإضافات وإرسالها إلى C2.

Base64 encoded wallet browser extension names and folder name — أسماء ملحقات متصفح المحفظة المشفرة Base64 واسم المجلد

ملحقات المتصفح التي يستهدفها السارقمحفظة Yoroi Wallet bit محفظة Trystaltronlink Atomic Wallet KardiaChainstation Wombat Phantom Harmony محفظة Oxygenmath Coincoin98 محفظة MEWCX Coinbase Authentator Guild Bolt X BinanceChain في محفظة Saturn محفظة السيولة محفظة Brave Wallet X Defi Wallet Namiar Wallet محفظة JaxxxLiberty Coin 98 محفظة جواردو والي روي محفظة ميتاماسكبالي محفظة تيمبل محفظة بت تطبيقات محفظة

ديسكورد

يقوم السارق بتعداد جميع ملفات *.log و*.db في C:\Users\user\AppData\Roaming\discord\Local Storage\ leveldb ويبحث عن الرموز باستخدام نمط regex التالي:

{2 4}\. {6}\. {2 7}

قاذفات اللعبة

يستهدف سارق RedLine تطبيق Steam عن طريق استرداد المسار.

Malware checking for Steam installation — فحص البرامج الضارة لتثبيت Steam

السارق مهتم بملفات*ssfn* و*.config و*.vdf. يتم إنشاء مسارات الملفات عن طريق إنشاء فئة GameLauncher. ثم يتم البحث في الملفات عن طريق الاتصال مسح الملفات. search () طريقة. ثم يتم إرسال البيانات إلى C2.

Method implementing GameLauncher data stealing — طريقة تنفيذ سرقة بيانات GameLauncher

شبكة خاصة افتراضية

يستهدف السارق تطبيقات VPN التالية:

نورد في بي إن
أوبن في بي إن
بروتونVPN

أثناء استهداف NordVPN:

يسترجع السارق المسار C:\Users\user\AppData\Local\NordVPN
يقوم بتعداد ملفات «user.config» (xml) في أدلة NordVPN.exe*.
يفتح ملف تكوين المستخدم ويبحث عن العقد التالية
- //إعداد/قيمة
- //إعداد/قيمة
يتم فك تشفير البيانات المستردة وإرسالها إلى C2.

Nord VPN user configuration stealing — سرقة تكوين مستخدم Nord VPN

أثناء استهداف OpenVPN و ProtonVPN، يعدد السارق الأدلة ذات الصلة ويبحث عن بيانات.config وملفات.ovpn.

تطبيقات بروتوكول نقل الملفات

يستهدف سارق الخط الأحمر تطبيق FileZilla FTP. يبحث عن ملفين على نظام الضحية في دليل AppData:

sitemanager.xml
recentservers.xml

بعد جلب المسار إلى ملفات XML المذكورة أعلاه، يقوم بتحليل وسرقة كلمة المرور ومعلومات المستخدم.

RedLine stealing data from FileZilla configuration file — يقوم RedLine بسرقة البيانات من ملف تكوين FileZilla

لقطة شاشة

يأخذ السارق لقطة شاشة شاشة المستخدم من خلال تنفيذ العمليات التالية:

يتم حساب حجم الشاشة عن طريق استرداد عامل القياس. في عملية الحساب، يقوم السارق بالتحميل gdi32.dll في الذاكرة والاستخدامات احصل على أغطية الأجهزة وظيفة للحصول على عدد البتات لكل بكسل.
بعد حساب حجم الشاشة، تتضمن عملية التقاط الشاشة بعض عمليات معالجة الصور التي تتجاوز نطاق هذا التقرير. أخيرًا، يتم تصدير الصورة الملتقطة كـ .png. ثم يتم إرسال هذه البيانات إلى C2.

Storing the screenshot image as png — تخزين صورة لقطة الشاشة بصيغة png

تنفيذ المهام

توفر RedLine Stealer لمشغليها القدرة على تشغيل حمولات إضافية مثل RAT/Beacons كمهام. يقوم السارق باسترداد قائمة المهام من C2، وعادةً ما تكون عبارة عن ارتباط بالحمولة الصافية أو أمر نظام التشغيل.

Task configuration check and task execution — فحص تكوين المهام وتنفيذ المهام

يوفر RedLine الوظائف الأربع التالية لتنفيذ مهام إضافية على النظام المخترق.

تنفيذ الأوامر عبر cmd

تتيح هذه الوظيفة للمشغل إصدار الأوامر وتنفيذها عبر cmd.exe.

Task command execution via cmd.exe — تنفيذ أمر المهمة عبر cmd.exe

تنزيل الحمولة وتنفيذها

تتيح هذه الوظيفة للسارق تنزيل وتنفيذ الحمولة من الإنترنت.

Payload download and execution — تنزيل الحمولة وتنفيذها

ميزة التنزيل فقط

هذه الوظيفة «للتنزيل فقط» ولا تنفذ الحمولة. لتنفيذ الحمولة، يجب استخدام ميزة التنفيذ فقط.

Download-only task execution — تنفيذ مهمة التنزيل فقط

ميزة التنفيذ فقط

هذه الوظيفة «قابلة للتنفيذ فقط» ولا تقوم بتنزيل أي حمولة. يمكن استخدام هذه الميزة بعد ميزة التنزيل فقط.

Execute-only task execution — تنفيذ المهام فقط

التواصل

يستخدم السارق http://tempuri [.] المؤسسة/الكيان/المعرف <1-24> كقيادة وتحكم. يتم تعيين النطاق بحيث تتم إعادة توجيه الزوار إلى bing.com إذا لم يتم توفير المعلمات المناسبة.
تُستخدم المعلمة Id للتمييز بين أنواع البيانات المختلفة التي ترسلها البرامج الضارة إلى C2. ويرد ملخص للمعايير المختلفة وأهميتها في الجدول التالي.

نقطة النهايةوصفمعرف 1 لا حاجة إلى معرف 2 لا حاجة إلى معرف 3مستخدم

يرسل معلومات المستخدم إلى نقطة النهاية هذه

id4مستخدم

يرسل معلومات المستخدم إلى نقطة النهاية هذه

id5عرض

يرسل لقطة شاشة شاشة الضحية إلى نقطة النهاية هذه

id6المدافعين

يرسل قائمة المركبات ذاتية التشغيل المثبتة على النظام إلى نقطة النهاية هذه

id7اللغات

يرسل اللغات المتاحة على النظام إلى نقطة النهاية هذه

id8برامج

يرسل قائمة البرامج المثبتة على النظام إلى نقطة النهاية هذه

id9العمليات

يرسل قائمة العمليات الجارية على النظام إلى نقطة النهاية هذه

id10الأجهزة

يرسل بيانات CPU/GPU/RAM إلى نقطة النهاية هذه

id11المتصفحات

يرسل بيانات المستخدم المسروقة من المتصفحات إلى نقطة النهاية هذه

id12قدم في الثانية

يرسل البيانات المسروقة من تطبيق FileZilla إلى نقطة النهاية هذه

id13المتصفحات المثبتة

يرسل قائمة بالمتصفحات المثبتة إلى نقطة النهاية هذه

id14ملفات عن بعد