Redline Stealerの行動分析

インフォスティーラーは、 特別な位置を占めています マルウェアの中で、その単純さにもかかわらず、彼らは非常に効果的に主要なタスクを達成します: システム内のすべての潜在的に価値のある情報を収集し、コマンド＆コントロールサーバーに流出させ、その後自身とその活動の痕跡を削除します。これらは初心者から上級の脅威アクターまで利用されており、ハッカーフォーラムには財布とニーズに応じたさまざまな提案があります。Redline Stealerはこのカテゴリの新参者で、高価格で販売され、作者はマルウェアのサポートと定期的なアップデートを約束していますが、これまでのところその約束は守られています。

Redline Stealerは 初めて検出された のは3月初旬で、その分析により、マルウェア作者が過去にMystery Stealerを作成し、そのコードに基づいて新しいバージョンを作成したことが明らかになりました。しかし、Mysteryの作者は過去のユーザーの信頼に応えられませんでした、この部分でこの話が繰り返されないことを期待します。Redline Stealerは複雑さで際立っておらず、このマルウェアは特有の機能を持たず、コードの難読化に多くの時間を費やしていません。それにもかかわらず、初心者ハッカーの手にあればかなり危険なツールであり得ます。新しいバージョンのこのマルウェアは一般的なインフォスティーラーより少ししかないかもしれませんが、その「寿命」は非常に短いです: Redline Stealerはコマンドを実行し、ファイルをダウンロードし、感染したシステムについての情報を定期的に送信する能力を持っています。

Emir Erdoganによるコミュニティシグマルールは、 Redline Stealerの動作に基づく検出を可能にし、感染したシステムを見つけるのに役立ちます： enables the detection of Redline Stealer according to its behavior and helps to find infected systems: https://tdm.socprime.com/tdm/info/H7bRC2qQFC6S/1YiQcnQBPeJ4_8xcWcxd/?p=1

このルールは以下のプラットフォームに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術： 資格情報アクセス

テクニック：資格情報ダンピング（T1003）、ファイル内の資格情報（T1081）

SOC Prime TDMを試したいですか？ 無料でサインアップ。または Threat Bounty Programへの参加 して、あなた自身のコンテンツを作成し、TDMコミュニティと共有しましょう。