Verhaltensanalyse des Redline Stealers

Infostealer nehmen einen besonderen Platz unter Malware ein, denn mit ihrer Einfachheit bewältigen sie sehr effektiv ihre primären Aufgaben: alle potenziell wertvollen Informationen im System zu sammeln, diese zum Kommando- und Kontrollserver zu exfiltrieren und sich dann selbst sowie ihre Aktivitätsspuren zu löschen. Sie werden sowohl von Anfängern als auch von fortgeschrittenen Bedrohungsakteuren genutzt, und es gibt auf Hackerforen viele Angebote für jeden Geschmack, je nach Geldbeutel und Bedarf. Redline Stealer ist ein relativ neuer Zugang in dieser Kategorie, er wird zu einem hohen Preis für Infostealer verkauft, seine Autoren versprechen, die Malware zu unterstützen und regelmäßig Updates bereitzustellen, und bisher haben sie ihre Versprechen gehalten.

Redline Stealer wurde zuerst erkannt Anfang März, seine Analyse ergab, dass die Malware-Autoren in der Vergangenheit Mystery Stealer geschaffen haben und einen neuen Stamm auf Basis seines Codes erstellt haben. Doch die Autoren von Mystery haben das Vertrauen früherer Nutzer nicht erfüllt, wir hoffen, dass sich die Geschichte in diesem Teil wiederholen wird. Redline Stealer zeichnet sich nicht durch Raffinesse aus, die Malware hat keine exklusive Funktionalität, ihre Autoren haben nicht viel Zeit damit verbracht, den Code zu verschleiern, und dennoch ist es ein ziemlich gefährliches Werkzeug in den Händen sogar eines unerfahrenen Hackers. Frische Versionen dieser Malware können nur wenig mehr als gewöhnliche Infostealer sein, deren „Leben“ extrem kurz ist: Redline Stealer hat die Fähigkeit, Befehle auszuführen, Dateien herunterzuladen und periodisch Informationen über das infizierte System zu senden.

Community Sigma-Regel von Emir Erdogan ermöglicht die Erkennung von Redline Stealer basierend auf seinem Verhalten und hilft, infizierte Systeme zu finden: https://tdm.socprime.com/tdm/info/H7bRC2qQFC6S/1YiQcnQBPeJ4_8xcWcxd/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Credential Access

Techniken: Credential Dumping (T1003), Credentials in Files (T1081)

Bereit, SOC Prime TDM auszuprobieren? Kostenlos registrieren. Oder am Threat Bounty Program teilnehmen um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.