RedLine Stealer 멀웨어 탐지
목차:
적들은 항상 그들의 악의적인 작전을 최대한 성공시키기 위해 새로운 트릭을 찾습니다. 이번에는 사이버 범죄자들이 Windows 11의 광범위한 배포 단계 발표를 이용해 악성코드가 포함된 업그레이드 설치 프로그램으로 사용자를 표적으로 삼고 있습니다. 다운로드 및 실행된 경우, 예상치 못한 피해자들의 시스템이 감염됩니다. RedLine 정보 탈취.
RedLine Stealer란 무엇인가?
2020년에 처음 공개된 RedLine stealer는 악성코드-서비스-모델(MaaS) 위협으로 지하 포럼에서 점점 더 광고되고 있으며, 월 구독의 경우 $150-200, 단일 샘플로 사용할 수 있습니다.
RedLine은 Windows 자격 증명, 브라우저 정보, 암호화폐 지갑, FTP 연결, 은행 데이터 및 감염된 호스트의 기타 민감한 정보를 수집할 수 있는 가장 널리 배포된 정보 탈취 중 하나입니다. 데이터 덤핑 기능 외에도 이 악성코드는 최근 운영자가 추가 악성 페이로드를 로드하고 공격자의 명령 및 제어(C&C) 서버에서 받은 명령을 실행할 수 있는 추가 기능이 업그레이드되었습니다.
RedLine stealer 분석에 따르면 이 악성코드는 매우 정교하지는 않으나, MaaS 모델을 채택하여 대규모 배포로 인해 악성 분야에서 두드러진 존재감을 갖게 되었습니다.
최신 RedLine 캠페인
HP의 조사에 따르면, RedLine 유포자들은 점점 더 Windows 10 사용자들을 유인하기 위해 허위의 Windows 11 업그레이드 약속에 의존하고 있습니다. 특히, 적들은 악성 설치 프로그램을 배포하기 위해 겉보기에는 정당한 ‘windows-upgraded.com’ 도메인을 활용합니다. 사용자가 “지금 다운로드” 버튼을 클릭하도록 속게 되면, ZIP 아카이브 “Windows11InstallationAssistant.zip”이 시스템에 도착해 RedLine 실행 파일을 포함합니다. 추출 및 실행 후, 피해자들은 악성 DLL이 장치에 로드되었고 이는 RedLine stealer 페이로드로 드러났습니다.
연구원들에 따르면, HP의 조사가 진행 중일 때 감지된 배포 웹사이트는 이미 제거되었습니다. 하지만 해커들은 새로운 도메인을 설정하고 악의적인 캠페인을 계속하는 데 문제가 없습니다.
보안 연구원들은 RedLine 유포자들이 많은 Windows 10 사용자가 하드웨어 호환성 문제로 인해 공식 배포 채널에서 Windows 11 업그레이드를 받지 못하는 점을 성공적으로 활용했다고 주목합니다. 전문가들은 다른 악성코드들도 같은 방식을 따를 것으로 믿고 있으므로 사용자는 주의해야 합니다.
RedLine Stealer 탐지
RedLine stealer 악성코드와 관련된 악의적인 활동을 감지하고 시스템 자산을 보호하려면, 저희 열정적인 위협 현상금 개발자 Osman Demir.
에 의해 제공된 전용 Sigma 규칙을 다운로드하십시오.
이 탐지는 다음의 SIEM, EDR & XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, 정규표현식 Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Microsoft PowerShell, 및 AWS OpenSearch.
이 규칙은 실행 전술과 스크립트 인터프리터(T1059)에 대한 최신 MITRE ATT&CK® 프레임워크 v.10과 일치합니다.
SOC Prime 플랫폼의 위협 탐지 마켓플레이스 저장소에 있는 RedLine 탐지의 전체 목록은 여기.
에서 확인할 수 있습니다. Sigma 규칙이 무엇인지배우십시오. 또한, 저희 가이드를 참고하여 MITRE ATT&CK®이 무엇인지 및 자기 발전에 어떻게 사용할 수 있는지 배울 수 있습니다.
