世界关注：Redline：”言行一致“端侧行为与话术配合良好的信息窃取器

情报背景

近期SerHack的研究人员发布了针对基于知名信息窃取工具Redline的恶意钓鱼攻击活动的分析，攻击者以伪造的具备NFT资金收益的游戏促销活动针对目标群体实施精准钓鱼打击，并在其后的攻击活动中伪造游戏合法流程以规避检测，最终实现敏感信息窃取的目的。名为Redline的商业化信息窃取程序通常在暗网论坛等区域以廉价的订阅价格销售，受到以窃取用户凭据、加密钱包信息等为目的的攻击者的青睐。

01 攻击技术分析

要点：端侧行为与钓鱼话术的良好配合

攻击者在初始的钓鱼邮件与站点内容中充分伪装为某个付费游戏的促销信息，号称通过该游戏可获得价值巨大的限量NFT资产。这种话术构造精准命中部分对该话题感兴趣的目标用户。

钓鱼站点与载荷投递服务等攻击基础设施均采用了与被模仿对象相近的域名，在其后多流程的攻击活动中也运用一系列对抗技术增强自身隐蔽性。

图1 伪造为游戏促销活动的信息窃取器攻击流程

在载荷特征与端侧攻击活动中配合该话术实施伪装是本次攻击活动的一大特点，文件属性等尽可能贴近其所伪造的合法游戏启动器。

值得注意的是后续载荷释放执行的路径中也另有玄机：该路径与合法Steam客户端下载游戏数据的位置保持一致，使得后续载荷拉取执行更加符合游戏的正常执行流程。

特殊的文件释放路径（与合法版本游戏数据存储位置保持一致）：%APPDATA%\\InternetCache\\EOSOverlay\\BrowserCache\\blob_storage\\72034298-6c55-4cae-bde5-b013ff6304f8

除此之外，攻击者利用端侧产品为了保证文件扫描与云端查杀效率而放弃大文件扫描与上传分析的特性，使用Binary Padding（T1027.001）的技术手段在尾部加入NULL字节，加大文件体积以规避静态检测与在线沙箱上传分析。

简单可行的静态扫描与沙箱查杀对抗效果也许是尽管简单粗暴的Padding手段无法给人工分析带来实际阻碍，却依然在多个Redline相关的攻击事件中被使用的原因。

02 总结

自带基本的防御规避效果的Redline等商业信息窃取器的应用，使得攻击者能够专注于攻击流程的伪造设计，保证钓鱼话术构建、基础设施架设以及端侧行为伪装的一致性。不仅做到了静态特征的高度相似，还通过对“游戏数据下载”的合法行为的拟态，使自身在行为分析角度也更具迷惑性。

模拟合法程序操作的“障眼法”与简单可行的反分析手段组合的攻击思路，也比较符合其仿冒游戏客户端实施信息窃取的意图。从防御角度思考，以“Binary Padding”这类易检测的高频利用对抗技术实施检测是一个比较好的切入点。

标签：