Derin Statik Analiz — RedLine | Tehdit: critical

Dosya Kimligi

SHA256ab82c433b4a5e763de3427295657629780fa2157f0db9975c643ba4610b5d885
MD5c82a837475376cd2dad0afb7520a5aa4
SHA1d636cd516174fbabf403d21c5ca55597f124caa6
Boyut570880 byte
Tur/opt/ksentinel/samples/ab82c433b4a5e763_SAMPLECATALOGSANDDRAWI: PE32 executable
DerlemeBilinmiyor
PackerUPX

C2 / Dropper Domainleri

AdresTipDurum
github.comDomainUnknown

IOC Listesi

DegerTip
github.comDomain

Yetenekler

  • TCP Socket C2

Gelistirici Ipuclari

PDB Yolu: bash: -c: line 1: syntax error near unexpected token `|' bash: -c: line 1: `grep -oiE '[A-Za-z]:\\Users\\[^\\]{2,30}\\[^

Telegram: @cN2AW @js7zg @pJKD @sEBvQ @Soz7

PE Analizi

Guvenlik Taramasi

file entropy:                    7.665814 (probably packed)
fpu anti-disassembly:            no
imagebase:                       normal
entrypoint:                      normal
DOS stub:               

Import Tablosu

Imported functions
    Library
        Name:                            mscoree.dll
        Functions
            Function
                Hint:                            0
                Name:                            _CorExeMain

Binwalk / Packer

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Microsoft executable, portable (PE)
30863      

Aile Tespiti

String kaniti bulunamadi (sifrelenmis/obfuskeli).

RedLine — Malware Profili

RedLine Stealer. QUOTATION lure. PCRE regex library. Form-grabbing. Credential theft.

Malware Tipi
Infostealer
Programlama Dili
.NET C#
C2 Protokolü
HTTPS
Hedef Sistemler
Windows
Diğer Adlar (AKA)
RedLine Stealer

Teknik Detaylar

.NET, gRPC C2 protokolu, browser credential theft (tum Chromium/Firefox tabanlılar), cryptocurrency wallet stealer, VPN credential stealer, Discord/Steam token stealer

Atıf / Tehdit Aktörü

Rusca konusulan gelistirici/operatorler; MaaS modeli ile cok sayida musteriye hizmet. 2024 Operasyon Magnus'ta birden fazla sunucu operatoru gozaltina alinmistir.

Yetenekler ve Davranış

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC Listesi (6 gösterge)

IOC — RedLine
# d636cd516174fbabf403d21c5ca55597f124caa6 # SHA256 ab82c433b4a5e763de3427295657629780fa2157f0db9975c643ba4610b5d885 # MD5 c82a837475376cd2dad0afb7520a5aa4 # DOMAIN github.com # FILEPATH bash: -c: line 1: syntax error near unexpected token `|' # FILEPATH bash: -c: line 1: `grep -oiE '[A-Za-z]:\\[^\s\"'\'<>|*?]{5,150}' /tmp/all.txt | grep -viE '(msbuild|nuget|packages|Microsoft\.NET)' | sort -u | head -10'
TürDeğerNot
d636cd516174fbabf403d21c5ca55597f124caa6
sha256 ab82c433b4a5e763de3427295657629780fa2157f0db9975c643ba4610b5d885
md5 c82a837475376cd2dad0afb7520a5aa4
domain github.com
filepath bash: -c: line 1: syntax error near unexpected token `|'
filepath bash: -c: line 1: `grep -oiE '[A-Za-z]:\\[^\s\"'\'<>|*?]{5,150}' /tmp/all.txt | grep -viE '(msbuild|nuget|packages|Microsoft\.NET)' | sort -u | head -10'

C2 Sunucuları (Bu aile için 8 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
github.com domain &mdash; HTTP active &mdash;
185.220.101.47 ip 80 HTTP active DE
103.224.241.163 ip 443 HTTPS inactive SG
45.142.212.100 ip 11821 TCP inactive &mdash;
193.56.255.42 ip 15000 TCP inactive &mdash;
5.188.87.39 ip 30000 TCP inactive &mdash;
46.205.202.219 ip 1912 TCP inactive &mdash;
217.65.2.14 ip 1912 TCP inactive &mdash;

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
redlinestatik-analizcriticalc2iocpe