Nguy cơ lộ lọt thông tin cá nhân NGHIÊM TRỌNG do các loại mã độc đánh cắp thông tin - Redline Stealer

Trong quá trình giám sát trên Không gian mạng, Viettel Threat Intelligence tiếp tục phát hiện và thu thập một số lượng lớn dữ liệu dạng logs của nhiều loại mã độc đánh cắp thông tin phổ biến nhất hiện nay.

Nghiêm trọng hơn, thông tin của người dùng tại Việt Nam đăng nhập vào các hệ thống trọng yếu liên tục xuất hiện trong tập dữ liệu chiếm một số lượng không hề nhỏ đặc biệt là các hệ thống ngân hàng, chính phủ và truyền thông của cả nước. Vì vậy, Viettel Threat Intelligence cảnh báo về nguy cơ lộ lọt thông tin cá nhân nghiêm trọng đồng thời nâng cao nhận thức cho người dùng, giảm thiểu mức độ ảnh hưởng và đưa ra khuyến nghị từ các chuyên gia về việc phòng chống các loại mã độc nguy hiểm này.

Trong bài viết lần này, Viettel Threat Intelligence sẽ thực hiện theo dõi hành vi trên không gian mạng của Redline Stealer và mức độ ảnh hưởng đối người dùng, khách hàng và các khuyến nghị của chuyên gia khi gặp với loại mã độc nguy hiểm trên.

Bài viết với mục đích nghiên cứu, chia sẻ tri thức về các mối đe dọa an toàn trên Không gian mạng. Viettel Threat Intelligence sẽ không chịu trách nhiệm nếu các cá nhân sử dụng tri thức nhằm mục đích tấn công hay phá hoại.

Tóm tắt chung

Viettel Threat Intelligence phát hiện nhiều chiến dịch lây nhiễm mã độc Redline Stealer. Đây là nguy cơ nghiêm trọng do số lượng nạn nhân được xác định rất lớn, nhiều tập dữ liệu nhạy cảm bị lộ lọt ảnh hưởng nhiều tới các hạ tầng trọng yếu cả trong và ngoài nước.

Mối đe dọa (Adversary)

Redline Stealer là một loại mã độc đánh cắp thông tin hoạt động dưới dạng Malware As A Service, cung cấp dịch vụ bán (Adversary Operator) và người dùng thực hiện giao dịch mã độc (Adversary Customer), hoạt động phát tán và lấy lợi nhuận riêng lẻ không phụ thuộc vào người cung cấp .

Nạn nhân ảnh hưởng (Victims)

Nạn nhân chịu ảnh hưởng có thể là bất kỳ ai nếu vô tình tải về một phần mềm không rõ nguồn gốc được cài cắm mã độc Redline. Điều này có thể xảy ra khi bị vô tình rơi vào tầm ngắm của một chiến dịch cụ thể hoặc đơn giản chỉ là một số file crack trôi nổi trên Không gian mạng.

Một số nạn nhân bị nhắm tới trong các chiến dịch mã độc Redline được đề cập trong bài:

- Nhắm vào người dùng thông thường vô tình tải về các phần mềm Crack có chứa mã độc Redline. Người dùng Việt Nam chứa số lượng rất lớn.

- Nhắm vào 3D Digital Artists* để đánh cắp coin và token NFT.

- Nhắm vào các người dùng tin tưởng vào chiến dịch Folding@Home phòng chống Covid19 của Mỹ (Dự án tính toán phân bố để xây dựng các mô hình cấu trúc Protein phục vụ cho các mô hình nghiên cứu phòng chống Covid, người dùng thường đc khuyến khích tải app simulator để chạy cùng dự án). Kẻ tấn công lợi dụng để lừa người dùng tải về một phần mềm Simulator giả mạo chứa mã độc Redline.

*Digital Artists, NFT: Người sáng tạo nội dung nghệ thuật sử dụng các công nghệ kỹ thuật số dưới dạng NFTs.

Khả năng ảnh hưởng (Capabilities)

Khả năng thu thập các thông tin từ hệ thống, trình duyệt, ví điện tử và các thông tin có giá trị khác của người dùng với đa dạng các cách thức lây nhiễm cùng khả năng thực thi mã từ xa, tải xuống nhiều công cụ độc hại.

Hạ tầng/ Dấu vết mã độc (Infrastructure)

· Sử dụng kết nối HTTP-SOAP để trích xuất dữ liệu, tải về và thực thi mã từ xa tùy ý.

· Do tính chất của loại mã độc MaaS nên mỗi Customer sẽ đi với 1 C&C khác nhau.

· Hạ tầng có thể mapping từ các đường dẫn tải về và C&C

(Chi tiết tại mục IOCs)

Redline Stealer

Là chủng loại mã độc đánh cắp thông đang cực kỳ thịnh hành hiện nay với số lượng mẫu mã độc được tải lên luôn đứng đầu trên bảng xếp hạng Any Run.

Số lượng tập tin độc được tải lên các dịch vụ Public Sandbox mỗi ngày vẫn liên tục tăng và duy trì hàng tháng, với tổng số hơn 16.561 IOCs tại Any.Run từ khi ra mắt cho đến nay.

So với mã độc Oski được Viettel Threat Intelligence mô tả ở phần 1, Redlineđược cấu tạo và hoạt động một cách phức tạp hơn, mở rộng nhiều chức năng chính và nhắm trực tiếp các thông tin nhạy cảm bao gồm:

· Thông tin của hệ thống (System Information)

· Thông tin đăng nhập/xác thực trên của trình duyệt (Browser Credentials )

· Thông tin ví tiền điện tử (Crypto Wallet Information)

· Ảnh chụp màn hình nạn nhân (Screenshot)

· Các tập tin của nạn nhân (Files)

· [NEW] Đánh cắp thông tin FTP

· [NEW] Đánh cắp thông tin đăng nhập VPN

· [NEW] Đánh cắp thông tin các phần mềm Instant Messengers như Discord, Telegram.

· [NEW] Đánh cắp thông tin người chơi Steam.

Theo như Viettel Threat Intelligence phân tích, 5 tính năng đầu tiên của Redline được thiết kế với chức năng giống mã độc Oski . Các tính năng mới bao gồm:

[NEW] Đánh cắp thông tin xác thực FTP

Mã độc Redline nhắm tới hai ứng dụng mã nguồn mở sử dụng để kết nối FTP phổ biến hiện nay là FileZilla và WinSCP. Sau khi xác định được hai ứng dụng này được cài đặt trên máy, mã độc sẽ lấy các dữ liệu bao gồm:

· Với FileZilla

o  Các kết nối.

o  Thông tin đăng nhập/xác thực

o  Các thông tin được sử dụng gần đây như host, port, tài khoản, mật khẩu.

· Với WinSCP

o  Mật khẩu

Các kết nối.

[NEW] Đánh cắp thông tin đăng nhập VPN

Với sự phổ biến của các ứng dụng VPN hiện nay, mã độc nhắm tới một số các ứng dụng VPN như NordVPN, ProtonVPN và OpenVPN.

· Mã độc thực hiện đọc các file config của từng ứng dụng và kết xuất ra tài khoản cùng mật khẩu đi kèm với mỗi profile.

[NEW] Đánh cắp thông tin đăng nhập các ứng dụng Instant Messenger (Telegram, Discord)

Instant Messenger là dịch vụ nhắn tin, trò chuyện trực tuyến. Mã độc nhắm tới 2 ứng dụng IM cực kỳ phổ biến hiện nay là Discord và Telegram.

o Với Telegram:

-  Xác định thư mục tdata tại %AppData\Roaming\Telegram Desktop\tdata% chứa dữ liệu về cache, session, hình ảnh và các cuộc hội thoại.

[NEW] Đánh cắp thông tin đăng nhập Steam

Steam là nền tảng chơi game trực tuyến khá phổ biến hiện nay với hơn 100 triệu người dùng.

· Mã độc sẽ thực hiện đánh cắp các profile người chơi tại Steam Sentry File (.SSFN) chứa tài khoản mật khẩu và thông tin thẻ tin dụng đi kèm để thực hiện các giao dịch trên Steam.

Ngoài các tính năng chính để đánh cắp thông tin, Redline còn cung cấp các tính năng truy cập từ xa để phục vụ đa mục đích như:

· Tải về, thực thi các file tùy ý.

· Mở các link tùy ý

· Tải về và thực thi các bản update mới của Redline.

· Thực thi các câu lệnh thông qua CMD.

Ngoài ra, kẻ tấn công có thể mua thêm một số plugin có tên Universal Tool đi kèm phục vụ cho đa mục đích (checker, spammer, sorter/parservà cheat) như kiểm tra các dữ liệu thu thập được như cookies, tài khoản mật khẩu trên một số nền tảng có hợp lệ, đã hết hạn hay không và nhiều chức năng khác.

Theo dõi hành vi trên không gian mạng

Mã độc Redline lần đầu tiên được rao bán trên các diễn đàn Underground tại Nga vào tháng 3/2020, sau đó liên tục được nâng cấp và làm mới các tính năng phục vụ cho việc đánh cắp dữ liệu.

Viettel Threat Intelligence thực hiện theo dõi các nhóm kín mua bán, trao đổi và phát tán mã độc Redline. Các nhóm này chia ra với nhiều mục đích khác nhau như:

· Giao dịch mã độc qua một kênh [SUPPORT] riêng.

· Cách thức cài đặt, hướng dẫn sử dụng và các bản cập nhật được cung cấp qua một kênh Member[s]riêng.

· Kênh mua bán, trao đổi LOGs của người dùng qua một kênh [LOGs] riêng.

Giao dịch mã độc

Cụ thể, bản cài đặt được rao bán công khai trên Telegram với phiên bản mới nhất 21.2 (27/08/2021) có các lựa chọn như sau:

o Bản Thường: 100$/tuần hoặc 150$/tháng

o Bản Premium/Lifetime:800$, mở rộng không giới hạn với một số tính năng. Đặc biệt khi thanh toán và sử dụng phiên bản PRO, người dùng được thêm tính năng signing real certificate.

Cách thức triển khai mã độc

Sau khi giao dịch thành công mã độc Redline với TA (Threat Actor), kẻ tấn công thực hiện dựng Panel trên một hosting RDP và phát tán mã độc qua các tập tin .exe.

Thông tin sẽ được thu thập về Panel, nhận thông báo qua các kênh tùy ý.

Kênh mua bán trao đổi LOGs

Dữ liệu LOGS của mã độc người dùng đánh cắp sẽ được rao bán tại đây. Phí giao dịch bỏ ra thường rơi vào 150$-200$ tới 2500$ với cam kết 1-3GBdữ liệu Fresh Logs* mỗi tuần.

*Fresh Logs: Logs sạch, mới trong vòng 1 tuần, bao gồm các tài khoản chưa từng sử dụng sau khi đánh cắp, cookies chưa hết hạn.

Người dùng Việt Nam trong thị trường mua bán mã độc

Số lượng người dùng Việt Nam tham gia vào thị trường giao dịch và trao đổi mã độc đang dần phát triển mạnh. Một số người dùng được cho rằng đang chú ý tới các tài khoản Facebook bị đánh cắp nhằm thực hiện một số mục đích riêng.

Phân tích cách thức hoạt động của Threat Actor qua các phiên bản Crack của Redline

Ngoài phiên bản chính thức được rao bán, các Panel Crack của mã độc được phát tán mạnh mẽ qua một số các diễn đàn Underground. Các phiên bản này được chia sẻ rộng rãi, với hướng dẫn rất chi tiết từ việc dựng host, đăng nhập vào Panel cho đến build mã độc riêng theo ý muốn khiến tăng nguy cơ lây lan và phát tán của Redline lên gấp nhiều lần.

Phân tích luồng hoạt động chính

Sau khi thực hiện giao dịch hoặc tải về phiên bản Crack, phần mềm sẽ có 3 thành phần chính bao gồm:

- Bảng điều khiển gốc của mã độc (Phải trả tiền để sử dụng)

- (*) Bảng điều khiển (Panel) của mã độc đã được Crack.

- (*) Builder tạo các file thực thi (.exe) để phát tán.

Để cấu hình phát tán mã độc, cần thực hiện các bước như sau:

1. Khởi tạo Host đã được để thực hiện kết nối với Server Crack.

- Dữ liệu đánh cắp được sẽ được tổng hợp và đẩy về đây. Vì vậy có nhiều chiến dịch phát tán cấc phần mềm Crack diện rộng để tăng số lượng Threat Actor, số lượng logs được tổng hợp nhiều hơn cho Host.

2. Đăng nhập vào Panel đã được Crack sử dụng tài khoản được cung cấp. Ở đây là “ims0rry” và “dr-***.com”

3. Sử dụng Builder tạo các bản build.exe sử dụng để phát tán với Destination là IP:Portcủa môi trường dựng Panel.

4. Thực hiện cấu hình và tùy chỉnh theo ý muốn trước khi build tại tab Settings:

- Get files settings: cấu hình đánh cắp các files theo đường dẫn wildcard mong muốn.

VD: %userprofile%\Desktop|*.txt,*doc*,*key*,*wallet*,*seed*|0: đánh cắp tất cả các file có định dạng *.txt, .*doc*, .*key*,.. trong thư mục Desktop của nạn nhân.

Chuyển đến tab Builder, nơi kẻ tấn công thực hiện đóng gói mã độc cùng với các cài đặt được tùy chỉnh phía trên. Ngoài ra nếu mua phiên bản Premium của chính chủ tại Redline Support, người dùng sẽ được cung cấp thêm một Certificate.

Ngoài ra, phần mềm còn cung cấp riêng một bản FAQ để hướng dẫn cách cài đặt, dựng Redline, giải thích các chỉ mục trong phần mềm và thậm chí là cách sử dụng Spectrum Crypter để tránh sự phát hiện của AV.

5. Sau khi thực hiện phát tán mã độc và lây nhiễm thành công, thông tin của nạn nhân sẽ được thu thập và hiển thị trên Panel như sau:

Bảng hiển thị chính biểu diễn số lượng các máy bị ảnh hưởng với các phần mềm độc hại. Kẻ tấn công dễ dàng kiểm tra thông tin của nạn nhân bằng cách mở bảng tùy chọn và trích xuất các dữ liệu cần thiết.

Các bảng phụ như Password Viewer và Cookie Viewer để hiển thị chi tiết các giá trị gồm các trường thông tin cơ bản như:

a. Password Viewer: Host, Login, Password

Các thông tin này sau khi bị đánh cắp có thể bị sử dụng vào các mục đích xấu, đăng nhập trái phép vào các hệ thống ảnh hưởng,..

b. Cookie Viewer: Host, Http, Path, Secure, Expires, Name, Value

Cookie đánh cắp được kẻ tấn công sử dụng để thực hiện đánh cắp hoặc giả mạo phiên, xâm nhập trái phép mà không cần yêu cầu xác thực..

Để thống kê số lượng máy đã bị lây nhiễm thành công, bảng Statistic biểu diễn số lượng các giá trị một cách tổng quan như sau:

Bảng phụ System Viewer sử dụng để hiển thị thông tin của hệ thống cùng ảnh chụp màn hình ngay khi nạn nhân thực thi mã độc trên máy.

Hoàn tất việc đánh cắp thông tin, thư mục sẽ được nén lại với tên có định dạng:

· CountryCode (ISO-3166-1-a-2)[HWID][Date_Time].zip

(eg: AM[F6B6356DD68E3FD59A56680E6BEDD5F7] [2021-07-29T20_39_03.8503625].zip) và gửi về qua C&C.

Mức độ ảnh hưởng tới người dùng

Tổng quan chung

Mức độ ảnh hưởng của Redline thực sự là lớn hơn rất nhiều so với mã độc Oski. Ngoài mục đích phát tán để đánh cắp thông tin người dùng thông thường, Redline còn được sử dụng trong nhiều các chiến dịch lớn đã diễn ra vào đầu năm 2021 như:

Với mục đích đánh cắp thông tin người dùng thông thường, Viettel Threat Intelligence phát hiện nhiều trường hợp người dùng tại Việt Nam trở thành nạn nhân của các chiến dịch mã độc đánh cắp thông tin do tải về một số phần mềm cr@ck tràn lan trên các trang web đã được cảnh báo ở phần trước.

Sau khi thu thập thông tin, phân tích và rà quét,  Viettel Threat Intelligence xác định loại mã độc lây nhiễm là Redline Stealer với các đặc trưng dễ thấy.

I.      Phương thức lây nhiễm

Qua các chiến dịch liên quan tới dòng mã độc Redline Stealer, các phương thức lây nhiễm từng được sử dụng rất đa dạng như:

Ngoài ra, với phương thức lây nhiễm tương tự như phần I, kẻ tấn công chuẩn bị một số lượng lớn các trang web trên để tải về các phần mềm chứa mã độc Redline. Các trang web này được thiết kế chuẩn SEO bằng các plugin hỗ trợ nhằm xuất hiện trong top đầu các kết quả tìm kiếm trên Google tại nhiều quốc gia.

I. Nguyên nhân lây nhiễm

Với sự phát triển và nâng cấp, TA rao bán rằng nếu người dùng sử dụng phiên bản nâng cấp, mã độc sẽ được cung cấp một chứng chỉ nhận dạng (signing file cert) nhằm qua mặt các phần mềm diệt virus hiện nay.

Ngoài ra, một nguyên nhân phổ biến hơn dẫn đến việc bị ảnh hưởng bởi các loại mã độc đánh cắp thông tin là việc thường xuyên sử dụng các phần mềm crack, không sử dụng các phần mềm diệt Virus hoặc thậm chí gỡ bỏ Windows Defender trên máy để thoải mái sử dụng hơn.

I. Dữ liệu đánh cắp được giao dịch tại Dark Web

Dữ liệu sau khi bị đánh cắp sẽ được rao bán trên các diễn đàn Underground hoặc các kênh nhóm tại Telegram. Điển hình tại Russian Market, một trong những nơi giao dịch các dữ liệu bị đánh cắp bất hợp pháp lớn nhất tại Dark Web được thống kê như sau:

Xử lý dữ liệu sau khi giao dịch

Viettel Threat Intelligence phát hiện nhiều tài liệu tại Dark Web hướng dẫn kiểm tra các thông tin sau khi giao dịch như xử lý cookies, số dư trong các ví điện tử đã đánh cắp được. Các tài liệu này phát tán công khai làm tăng mức độ rủi ro cho nạn nhân.

Phân tích dữ liệu

Để hình dung rõ hơn về nguy cơ ảnh hưởng của mã độc Redline đối với người dùng, Viettel Threat Intelligence sẽ thực hiện phân tích tập dữ liệu trong hai tháng trở lại đây của loại mã độc này được thu thập được trên Deep/Dark Web:

“Dữ liệu lộ lọt thu thập được Viettel Threat Intelligence đã cảnh báo tới các khách hàng sử dụng dịch vụ Threat Intelligence. Mọi thông tin chi tiết, khách hàng vui lòng truy cập trang chủ của Viettel Threat Intelligence: cyberintel.io”

Dấu hiệu nhận biết/ Hạ tầng mã độc

1. Rà soát các thư mục hoặc các tiến trình có đường dẫn tới các thư mục dưới đây ( vì tên file có thể thay đổi theo từng mẫu)

2. Rà soát các Event để kiểm tra hành vi của mã độc.

Startup Folder:

o C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IntelRapid.lnk

Task schedule:

o C:\Users\<user>\AppData\Roaming\services64.exe

o C:\Program Files\PowerControl\PowerControl_Svc.exe

o %temp%\dQmOBORtOOmVIQYxa\XOLcDlHHxqomGEP\DGsBsDU.exe

o c:\users\<user>\appdata\roaming\*\*.exe

Chèn thêm root certificate:

o Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E

o HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\E1C950E6EF22F84C5645728B922060D7D5A7A3E8

o HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\6252DC40F71143A22FDE9EF7348E064251B18118

o HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT\CERTIFICATES\CABD2A79A1076A31F21D253635CB039D4329A5E8

Tắt windows defender:

o HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS DEFENDER\REAL-TIME PROTECTION

Sau khi thực thi sẽ có file log được tạo tại:

o C:\Users\<user>\AppData\Local\Microsoft\CLR_v4.0

o C:\Users\<user>\AppData\Local\Microsoft\CLR_v4.0_32

Tạo thư mục mới và drop các file độc hại vào đó:

o C:\Users\<user>\AppData\Local\Temp\7zS88D38CD4

o C:\Users\<user>\AppData\Local\Temp\7zS368A.tmp

o C:\Users\<user>\AppData\Local\Temp\bengal

o C:\Users\<user>\AppData\Local\Temp\cghjgasaaz99

o C:\Users\<user>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HTA0MJH8

o C:\Users\<user>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ULMDHA1D

o C:\Users\<user>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7ZCR29RO

o C:\Users\<user>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4RT59HOG

o C:\Users\<user>\AppData\Local\Temp\{kGhO-bmno0-as2g-9etC8}

o C:\Program Files (x86)\Company\NewProduct

· Check các file drop tại các Folder %TEMP% và %APPDATA% ( có thể với các icon fake các ứng dụng uy tín):

Danh sách một số trang web host mã độc dựa theo bài viết:

• Omnisphere 2.6 Crack + Keygen With Torrent For Mac [VST] (crackshops.com)
• YouTube By Click 2.3.12 Crack + Activation Code Free Download! (optimalcracks.com)
• Voicemod Pro 2.16.0.1 Crack With License Key (2021) Latest Download (mixcracked.net)
• Voicemod Pro 2.6.0.7 Crack With License Key [Latest] (freedownloadfiles.org)
• Voicemod Pro 2.17.0.2 Crack + License Code [32bit/64bit] Download (pcsoftstore.com)
• VoiceMod Pro 2.15 Crack + License Key With Torrent [Free Voices] (crackshops.com)
• Voicemod Pro 2.14.0.10 Crack With License Key Full Download (zeemalcrack.com)
• Voicemod Pro 2.16.0.1 Crack With License Key Free Download 2021 (crackspro.co)
• Voicemod Pro 2.17.0.2 Crack + License Key [MAC] Download (zrootcracked.com)
• Voicemod Pro 2.16.0.1 Crack License Key (32/64-Bit) Free Download 2021 (scracked.com)
• Voicemod Pro 2.17 Crack + License Key (2021) Free Download (crackkits.com)
• Voicemod Pro 2.11.0.5 Crack + License Key [Latest] 2021 Free (ezcrack.info)

Danh sách các Domain chuyển hướng tới các IP phát tán mã độc Redline:

• hokumala[.]xyz
• zencomo[.]xyz
• lasbella[.]xyz
• nahrerhost[.]xyz

Ví dụ:

• https://hokumala[.]xyz/?s=47
• http://zencomo[.]xyz/?s=298

Danh sách các IP phát tán mã độc Redline (Không phải C&C):

• 52.26.28[.]19
• 52.13.172[.]43
• 34.209.155[.]151
• 34.209.250[.]165
• 34.214.252[.]214
• 52.41.248[.]44
• 54.213.232[.]221
• 13.56.165[.]39
• 35.160.145[.]230
• 34.217.79[.]62
• 3.101.85[.]107
• 54.71.47[.]168
• 34.220.236[.]233

IOCs

Do bản chất của Redline, IOCs sẽ thay đổi theo từng mẫu khác nhau:

Ví dụ về C&C của mẫu có trong bài viết:

Yara Rule

Cập nhật Yara Rule cho giải pháp dựa trên các rule sau:

1. Các mẫu mã độc đã được Obfuscate.

import "pe"
import "time"
rule Mal_InfoStealer_Win32_RedLine_Obfuscated_2021
{
   meta:
       description = "Detects Obfuscated RedLine Infostealer Executables (.NET)"
       date = "2021-07"
   strings:
       // The file name appears to use a ramdom word and never contains numbers
       $x1 = /[a-zA-z]+.exe/
       $x2 = "Signature"
       $x3 = "callback"
       $x4 = "Protect"
       $x5 = "Replace"
       $x6 = "Sleep"
       $x7 = "GetProcAddress"
       $x8 = "LoadLibrary"
       $x9 = "FreeLibrary"
       $x10 = "FromBase64String"
       $x11 = "nCmdShow"
       $x12 = "op_Explicit"
   condition:
       //PE File
       uint16(0) == 0x5a4d and
       // Must have exactly 3 sections
       pe.number_of_sections == 3 and
       // DotNet Imports
pe.imports("mscoree.dll", "_CorExeMain") and
       // DotNet Imphash
       pe.imphash() == "f34d5f2d4577ed6d9ceec516c1f5a744" and
       // Timestamp at least 20 years in the future (Unix Time)
       pe.timestamp > time.now() + (31556926*20) and
       // File Version 0.0.0.0
       pe.version_info["FileVersion"] == "0.0.0.0" and
       //All Strings
       all of ($x*) and
}

2. Các mẫu mã độc không bị Obfuscate (Un-Obfuscate)

import "pe"
import "time"

rule Mal_InfoStealer_Win32_RedLine_Unobfuscated_2021
{
   meta:
       description = "Detects Unobfuscated RedLine Infostealer Executables (.NET)"
       date = "2021-07"

strings:
       $x1 = "Account"
       $x2 = "AllWalletsRule"
       $x3 = "Autofill"
       $x4 = "BrowserExtensionsRule"
       $x5 = "BrowserVersion"
       $x6 = "CommandLineUpdate"
       $x7 = "DiscordRule"
       $x8 = "DownloadAndExecuteUpdate"
       $x9 = "FileCopier"
       $x10 = "FileScanner"
       $x11 = "Gecko"
       $x12 = "GeoInfo"
       $x13 = "RecoursiveFileGrabber"
       $x14 = "ResultFactory"
       $x15 = "ScannedBrowser"
       $x16 = "ScannedCookie"
       $x17 = "ScannedFile"
       $x18 = "StringDecrypt"
       $x19 = "SystemInfoHelper"
       $x20 = "UpdateTask"

condition:

//PE File
       uint16(0) == 0x5a4d and

// DotNet Imports
pe.imports("mscoree.dll", "_CorExeMain") and

// DotNet Imphash
       pe.imphash() == "f34d5f2d4577ed6d9ceec516c1f5a744" and

//All Strings
       all of ($x*)
}

Khuyến cáo

Khuyến cáo được đưa ra để giảm thiểu rủi ro đến từ mã độc Redline như sau:

• Không/hạn chế tải về các phần mềm crack, các phần mềm không rõ nguồn gốc tiềm ẩn nguy cơ xuất hiện tràn lan trên không gian mạng.
• Không lưu các dữ liệu quan trọng trong các file text ngoài thư mục Desktop, Documents,.. Thay vào đó hãy sử dụng một số phần mềm có tính năng lưu mật khẩu tương tự như KeyPass hoặc AnyPassword,…
• Hạn chế sử dụng tính năng lưu mật khẩu trên trình duyệt để giảm thiểu rủi ro bị lộ lọt thông tin. Đổi mật khẩu thường xuyên để ngăn ngừa rủi ro xảy ra. Bật tính năng xác thực đa yếu tố cho tài khoản đăng nhập.
• Hạn chế sử dụng lại mật khẩu trên nhiều nền tảng khác nhau. Kẻ tấn công có thể dễ dàng dò quét ra các dịch vụ mà người dùng sử dụng khác và tấn công Brute Force bằng các mật khẩu đã bị lộ lọt.

Trong trường hợp không may bị nhiễm mã độc hoặc nghi ngờ bị nhiễm mã độc:

• Cập nhật, cài đặt đầy đủ bản thông tin mới nhất về chiến dịch này cho giải pháp về ATTT (VD: Anti-virus, EDR…)
• Dựa vào dấu hiệu nhận biết mã độc để loang và tìm kiếm những máy bị nhiễm.

Phụ lục

Phụ lục 1: Mô tả ví dụ về tập tin bị lộ lọt:

1.    Tên file: UserInformation.txt

******************************************** ***

*    Telegram: https://t.me/REDLINESUPPORT    *

***********************************************

2. Tên file: Passwords.txt

Phụ lục 2: MITRE ATT&CK