레드라인 스틸러의 동작 분석

인포스틸러는 특별한 위치를 악성코드 중에서도 차지하고 있습니다. 이들은 간단하면서도, 시스템 내 모든 잠재적으로 가치 있는 정보를 수집하고 이를 명령 제어 서버로 유출한 뒤, 스스로와 활동 흔적을 삭제하는 주된 임무를 매우 효과적으로 수행합니다. 초보와 고급 위협 행위자 모두에게 활용되고 있으며, 다양한 요구와 예산에 맞춘 다양한 제안이 해커 포럼에 존재합니다. Redline Stealer는 이 범주에 비교적 새롭게 등장한 악성코드로 고급 인포스틸러와 비교하여 높은 가격에 판매되고 있으며, 제작자들은 악성코드 지원과 정기적인 업데이트를 약속하였고 현재까지 그 약속을 지켜오고 있습니다.

Redline Stealer는 처음으로 발견되었습니다 3월 초에, 분석 결과 악성코드 제작자들이 과거에 Mystery Stealer를 만들었고, 그 코드를 기반으로 새로운 변종을 만들어냈음을 보여주었습니다. 그러나 Mystery 제작자들은 과거 사용자의 신뢰를 저버렸고, 이번에는 그런 일이 반복되지 않기를 바랍니다. Redline Stealer는 고급스러움으로 구별되지는 않으며, 독점적인 기능을 갖추고 있지도 않습니다. 제작자들은 코드 난독화에 많은 시간을 들이지 않았지만, 초보 해커의 손에도 상당히 위험한 도구입니다. 최신 버전의 이 악성코드는 극히 짧은 “생명”을 가지는 일반 인포스틸러에 불과할 수 있습니다. Redline Stealer는 명령 실행, 파일 다운로드, 그리고 주기적으로 감염된 시스템에 대한 정보를 보내는 기능을 가지고 있습니다.

커뮤니티 Sigma 규칙은 Emir Erdogan에 의해 Redline Stealer를 행동 기반으로 감지하고, 감염된 시스템을 찾아내는 데 도움을 줍니다: https://tdm.socprime.com/tdm/info/H7bRC2qQFC6S/1YiQcnQBPeJ4_8xcWcxd/?p=1

규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 자격 증명 접근

기술: 자격 증명 덤프 (T1003), 파일 내 자격 증명 (T1081)

SOC Prime TDM을 사용해볼 준비가 되셨나요? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하여 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.