Danielnwachukwu/redline-malware-analysis

# redline-恶意软件分析 使用 MalwareBazaar 和沙箱技术对 RedLine Stealer 进行的静态和动态恶意软件分析。包括 IOC、MITRE ATT&CK 映射和行为分析。 恶意软件分析报告 – RedLine Stealer 样本信息 SHA256: f64ccc637b29a4000090e960789f88470ef02eca8b1e063e4b5611a7f43b3961 文件名: _f64ccc637b29a4000090e960789f88470ef02eca8b1e063e4b5611a7f43b3961.exe 恶意软件家族: RedLine Stealer 类型: 木马 / 窃密器 来源: MalwareBazaar 检测概况 44/65 个安全供应商将该文件标记为恶意 分类为 Trojan.MSIL.RedLine 功能包括凭据窃取和数据外传 样本详情 被识别为 RedLine Stealer 以收集以下信息而闻名： 浏览器凭据 Cookie 加密货币钱包 行为摘要 观察到 4 次检测 恶意软件分类为： 恶意软件 窃密器 木马 具备规避能力 MITRE ATT&CK 技术 观察到的战术： 执行 (T1106) – Native API 权限提升 (T1055) – 进程注入 防御规避 (T1027, T1036) – 混淆与伪装 凭据访问 (T1003, T1552) – 凭据转储 网络活动 DNS 查询： a1672.dscr.akamai.net 可疑 IP 通信： 198.46.86.63:1912 (TCP) 观察到的其他域： api.ip.sb duckduckgo.com 表明可能存在 C2 通信 文件系统活动 访问了： 浏览器： Chrome Edge Firefox Internet Explorer Windows Defender DLL： MsMpLics.dll 表明： 凭据窃取 安全意识 / 规避 注册表活动 访问了 .NET Framework 注册表项 与以下内容进行了交互： Windows 个性化设置 COM 接口结构 表明： 环境感知 可能的持久化准备 沙箱行为 多次沙箱检测： CAPE Sandbox → 恶意软件 Zenbox → 窃密器 / 木马 / 规避 C2AE → 窃密行为 Dr.Web vxCube → 恶意的 确认了高置信度的恶意行为 分析总结 主要目标 窃取凭据 建立持久化 与 C2 服务器通信 规避检测机制 关键能力 防御规避 凭据访问 持久化 规避技术 混淆 (T1027) 伪装 (T1036) 反分析（调试检测，长时间休眠） 失陷指标 (IOC) 文件哈希： f64ccc637b29a4000090e960789f88470ef02eca8b1e063e4b5611a7f43b3961 289945eb9260f08c0737be586730fcc00295a142 IP 地址： 198.46.86.63:1912 域： a1672.dscr.akamai.net 结论 此恶意软件样本是 RedLine Stealer，在以下方面表现出强大的能力： 凭据窃取 防御规避 命令与控制 (C2) 通信 静态和动态分析的结合确认其为高风险威胁。

标签：C2通信, DAST, DNS 反向解析, DNS 解析, IOC提取, MalwareBazaar, MITRE ATT&CK映射, RedLine Stealer, SSH蜜罐, StruQ, 云安全监控, 伪装, 信息窃取器, 凭据窃取, 威胁情报, 开发者工具, 恶意软件分析, 数据渗出, 样本分析, 沙箱技术, 混淆, 窃密木马, 网络安全, 网络通信分析, 进程注入, 逃避防御, 隐私保护, 静态分析