Karla-QD/RedLine-Stealer-Reverse-engineering-analysis

# 高级恶意软件分析：RedLine Stealer（AutoIt 编译包装器） ## 📋 执行摘要 本仓库详细记录了对 **RedLine Stealer** 样本的深入技术分析。该恶意软件使用复杂的多阶段感染链，涉及一个损坏的 UPX 打包可执行文件作为编译 AutoIt 脚本的包装器。分析涵盖从初始静态分类到手动解包和最终有效载荷反编译的完整生命周期。未进行深入的动态分析（未来可能会添加）。 ## 🛠️ 实验室设置和工具集 分析在虚拟化、空气隔离的环境中使用双系统取证方法进行： * **分析平台：** * **FLARE-VM：** 用于动态调试和静态分析的主要 Windows 环境。 * **Remnux：** 用于网络流量模拟和行为监控的 Linux 工具包。 * **技术栈：** * **静态分析：** Pestudio 9.61、PE-bear v0.7.1、Detect It Easy (DIE)。 * **动态调试：** x32dbg (TitanEngine)。 * **有效载荷提取：** OllyDumpEx v1.84、AutoIt-Ripper（CLI 和 Python）。 * **数据取证：** CyberChef。 ## 🔍 恶意软件识别 * **文件名：** `Ascent Industries Limited Scan Documents.exe/ 1vhhubvmn.exe`。 * **SHA256：** `eae3f9fb3f39eece67fc6a0c61f1584ce0e40ac6befa19bfa24fac1b094a72fd`。 * **架构：** PE32（32 位可执行文件）。 * **熵值：** **7.942**（表示高密度压缩/加密）。 * **威胁类别：** 信息窃取器（RedLine 家族）。 ## 🚀 技术方法论 ### 1. 静态分类和指标评估 通过 **Pestudio** 进行初步评估，发现几个"危险信号"指标： * **自修改代码：** 部分被标记为可写和可执行（RWE）。 * **可疑导入：** 高风险 API，包括 `VirtualAlloc`（内存注入）、`FtpOpenFileW`（数据外泄）和 `IcmpSendEcho`（C2 连接检查）。 * **打包检测：** 识别为 **UPX 3.91**，但标准自动解包失败。 ### 2. 克服反分析保护措施 样本使用 **损坏的 PE 头** 技术来阻止自动解包器。标准 `upx -d` 命令返回 `CantUnpackException`，迫使采用手动方法。 * **手动解包（x32dbg）：** 分析了 `UPX0` 和 `UPX1` 部分。虽然 `UPX0` 在磁盘上占用 0 字节，但在内存中分配了 **851,968 字节**——这是运行时解包的典型指标。 * **内存转储：** 到达 **原始入口点（OEP）** `0x0012D670` 后，使用 **OllyDumpEx** 获取干净的进程内存转储。 ### 3. 有效载荷反编译（AutoIt 层） 使用 **PE-bear** 进行转储后分析，确认有效载荷是一个编译的 AutoIt 脚本，隐藏在 `RC Data` 资源中。 * **提取：** 利用 **AutoIt-Ripper** 剥离包装器并反编译字节码。 * **恢复的资源：** 成功提取了 `script.au3`（核心恶意逻辑）和名为 `Zama` 和 `myriopodous` 的辅助资源。 ### 4. 🎯 MITRE ATT&CK 映射 查看完整映射： ➡️ [MITRE 映射](./MITRE.md) ## 🛡️ 战略结论和 IOC 此分析确认该样本是一个高度隐蔽的 **RedLine Stealer** 变体。通过将恶意软件包装在编译的 AutoIt 脚本中并损坏 UPX 头，攻击者成功绕过了基于签名的检测。最终有效载荷旨在窃取敏感的用户凭据、浏览器数据和加密钱包，然后通过 FTP 外泄。 有关分析期间提取的完整 IOC 列表，请参阅： ## ➡️ [IOC 文档](./IOCS/iocs.md) 本项目展示了以下方面的实践技能： - 手动解包打包的恶意软件 - 混淆脚本的逆向工程 - 内存执行分析 - 威胁情报映射（MITRE ATT&CK） *免责声明：本分析仅用于教育和研究目的。所有活动均在安全的隔离恶意软件实验室中进行。*

标签：AutoIt-Ripper, AutoIt逆向, CyberChef, DAST, Detect It Easy, DNS 反向解析, FLARE-VM, HTTP工具, IOC提取, IP 地址批量处理, OllyDumpEx, PE-bear, Pestudio, PE分析, Raspberry Pi, RedLine Stealer, Remnux, UPX脱壳, x32dbg, 云安全监控, 云资产清单, 信息窃取器, 内存执行, 威胁情报, 开发者工具, 恶意代码分析, 恶意软件分析, 恶意软件家族, 手动脱壳, 搜索语句（dork）, 无线安全, 红队分析, 网络安全, 自定义密码套件, 调试分析, 逆向工程, 配置文件, 隐私保护, 静态分析