Derin Statik Analiz — RedLine | Tehdit: critical
파일 Kimligi
| SHA256 | ab82c433b4a5e763de3427295657629780fa2157f0db9975c643ba4610b5d885 |
|---|---|
| MD5 | c82a837475376cd2dad0afb7520a5aa4 |
| SHA1 | d636cd516174fbabf403d21c5ca55597f124caa6 |
| 크기 | 570880 byte |
| Tur | /opt/ksentinel/samples/ab82c433b4a5e763_SAMPLECATALOGSANDDRAWI: PE32 executable |
| Derleme | 알 수 없음 |
| Packer | UPX |
C2 / Dropper Domainleri
| Adres | Tip | Durum |
|---|---|---|
github.com | Domain | Unknown |
IOC Listesi
| 값 | Tip |
|---|---|
github.com | Domain |
Yetenekler
- TCP Socket C2
Gelistirici Ipuclari
PDB Yolu: bash: -c: line 1: syntax error near unexpected token `|'
bash: -c: line 1: `grep -oiE '[A-Za-z]:\\Users\\[^\\]{2,30}\\[^
Telegram: @cN2AW @js7zg @pJKD @sEBvQ @Soz7
PE Analizi
Guvenlik Taramasi
file entropy: 7.665814 (probably packed) fpu anti-disassembly: no imagebase: normal entrypoint: normal DOS stub:
Import Tablosu
Imported functions
Library
Name: mscoree.dll
Functions
Function
Hint: 0
Name: _CorExeMainBinwalk / Packer
DECIMAL HEXADECIMAL DESCRIPTION -------------------------------------------------------------------------------- 0 0x0 Microsoft executable, portable (PE) 30863
패밀리 Tespiti
String kaniti bulunamadi (sifrelenmis/obfuskeli).
RedLine — 악성코드 프로필
RedLine Stealer. QUOTATION lure. PCRE regex library. Form-grabbing. Credential theft.
악성코드 유형
Infostealer
프로그래밍 언어
.NET C#
C2 프로토콜
HTTPS
대상 시스템
Windows
다른 이름 (AKA)
RedLine Stealer
기술 세부 정보
.NET, gRPC C2 protokolu, browser credential theft (tum Chromium/Firefox tabanlılar), cryptocurrency wallet stealer, VPN credential stealer, Discord/Steam token stealer
귀속 / 위협 행위자
Rusca konusulan gelistirici/operatorler; MaaS modeli ile cok sayida musteriye hizmet. 2024 Operasyon Magnus'ta birden fazla sunucu operatoru gozaltina alinmistir.
기능 및 동작
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC 목록 (6 개 지표)
IOC — RedLine
#
d636cd516174fbabf403d21c5ca55597f124caa6
# SHA256
ab82c433b4a5e763de3427295657629780fa2157f0db9975c643ba4610b5d885
# MD5
c82a837475376cd2dad0afb7520a5aa4
# DOMAIN
github.com
# FILEPATH
bash: -c: line 1: syntax error near unexpected token `|'
# FILEPATH
bash: -c: line 1: `grep -oiE '[A-Za-z]:\\[^\s\"'\'<>|*?]{5,150}' /tmp/all.txt | grep -viE '(msbuild|nuget|packages|Microsoft\.NET)' | sort -u | head -10'
| 유형 | 값 | 메모 |
|---|---|---|
| d636cd516174fbabf403d21c5ca55597f124caa6 | ||
| sha256 | ab82c433b4a5e763de3427295657629780fa2157f0db9975c643ba4610b5d885 | |
| md5 | c82a837475376cd2dad0afb7520a5aa4 | |
| domain | github.com | |
| filepath | bash: -c: line 1: syntax error near unexpected token `|' | |
| filepath | bash: -c: line 1: `grep -oiE '[A-Za-z]:\\[^\s\"'\'<>|*?]{5,150}' /tmp/all.txt | grep -viE '(msbuild|nuget|packages|Microsoft\.NET)' | sort -u | head -10' |
C2 서버 (이 패밀리에 대해 8개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| github.com | domain | — | HTTP | active | — |
| 185.220.101.47 | ip | 80 | HTTP | active | DE |
| 103.224.241.163 | ip | 443 | HTTPS | inactive | SG |
| 45.142.212.100 | ip | 11821 | TCP | inactive | — |
| 193.56.255.42 | ip | 15000 | TCP | inactive | — |
| 5.188.87.39 | ip | 30000 | TCP | inactive | — |
| 46.205.202.219 | ip | 1912 | TCP | inactive | — |
| 217.65.2.14 | ip | 1912 | TCP | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.