Featured image of post Phân Tích Đơn Vị 42 Crossing the Line với Quiz Wireshark về RedLine Stealer - j8bet com
J88vip0

Phân Tích Đơn Vị 42 Crossing the Line với Quiz Wireshark về RedLine Stealer - j8bet com

Khám phá và tham gia j8bet com ngay hôm nay để trải nghiệm trò chơi độc đáo và thú vị.

Ngày giờ bắt đầu nhiễm ở múi giờ UTC là gì?

  • Thời gian và ngày bắt đầu nhiễm ở múi giờ UTC là vào lúc 22:39 UTC ngày 10 tháng 7 năm 2023.

Địa chỉ IP của máy khách Windows bị nhiễm là gì?

  • Địa chỉ IP của máy khách Windows bị nhiễm: 10.7.10 [.] 47.

Địa chỉ MAC của máy khách Windows bị nhiễm là gì?

  • Địa chỉ MAC của máy khách Windows bị nhiễm: 80:86:5b:ab:1e:c4.

Tên máy chủ của máy khách Windows bị nhiễm là gì?

  • Tên máy chủ của máy khách Windows bị nhiễm: DESKTOP-9PEA63H.

Tên tài khoản người dùng từ máy chủ Windows bị nhiễm là gì?

  • Tên tài khoản người dùng từ máy chủ Windows bị nhiễm: rwalters.

Loại thông tin mà RedLine Stealer đã cố gắng đánh cắp là gì?

  • RedLine Stealer đã cố gắng đánh cắp các loại thông tin sau:
    • Các loại tệp khác nhau trên màn hình desktop của nạn nhân.
    • Các loại tệp khác nhau trong thư mục “Documents” của nạn nhân.
    • Dữ liệu người dùng từ trình duyệt web như Chrome, Chromium, Edge, Opera, Vivaldi và nhiều trình duyệt khác.
    • Dữ liệu từ ví tiền điện tử và các tiện ích mở rộng của trình duyệt liên quan đến ví tiền điện tử.
    • API key và thông tin đăng nhập từ các ứng dụng khác nhau.

Phần Trả Lời

Phân Tích Pcap: Chi Tiết Nạn Nhân

Bắt Đầu Nhiễm

Quá trình nhiễm bắt đầu vào lúc 22:39 UTC ngày 10 tháng 7 năm 2023. Sử dụng công cụ phân tích mạng Wireshark, chúng ta có thể xác định chi tiết của nạn nhân bằng cách lọc qua các gói dữ liệu.

Xác Định Địa Chỉ IP Và MAC

Địa chỉ IP và MAC của máy nạn nhân được xác nhận thông qua việc lọc qua giao thức NBNS (NetBIOS Name Service).

Xác Định Tên Máy Chủ

Tên máy chủ của nạn nhân được xác định thông qua lưu lượng truy vấn Kerberos. Lọc qua trường kerberos.CNameString giúp tìm ra tên tài khoản người dùng Windows là rwalters.

Phân Tích Pcap: Lưu Lượng Web Malignant

Lọc lưu lượng web sử dụng bộ j88vip0 lọc (http.request or tls.handshake.type eq 1) and !(ssdp) để hiển thị các yêu cầu HTTP không mã hóa. Ba yêu cầu HTTP GET không mã hóa đã được phát hiện:

  • Yêu cầu đầu tiên: hxxp://623start [.] site/?status=start&av=Windows%20Defender
  • Yêu cầu thứ hai: hxxp://623start [.] site/?status=install

Cả hai yêu cầu này đều trả về lỗi HTTP 404 từ máy chủ. Yêu cầu đầu tiên báo cáo phần mềm diệt virus đang sử dụng trên máy nạn nhân là Windows Defender. Yêu cầu thứ hai báo cáo trạng thái cài đặt của phần mềm độc hại.

Yêu cầu HTTP GET cuối cùng là hxxp://guiatelefonos [.] com/data/czx.jpg. Lưu lượng TCP sau yêu cầu này cho thấy URL này chuyển hướng sang phiên bản HTTPS của nó: hxxps://guiatelefonos [.] com/data/czx.jpg.

Phân Tích Pcap: Rò Rỉ Dữ Liệu bởi RedLine Stealer

Sử dụng lệnh lọc tcp.flags eq 0x0002 and !(tcp.port eq 443) and !(tcp.port eq 80) and !(ip.dst eq 10.7.10.0/24) để tìm các đoạn TCP SYN biểu thị khởi đầu của luồng TCP. Kết quả cho thấy một đoạn TCP SYN duy nhất gửi đến địa chỉ IP 194.26.135 [.] 119 qua cổng TCP 12432.

Dữ liệu ban đầu từ luồng TCP bao gồm kênh C2 tại địa chỉ tcp://194.26.135 [.] 119:12432/ và URL sử dụng tổ chức tempuri [.]. Từ khóa “tempuri” là viết tắt của “temporary URI”, miền tempuri [.] org là không gian tên giả do Microsoft sử dụng trong các công cụ phát triển như Visual Studio.

Dữ liệu được gửi từ máy chủ đến máy Windows bị nhiễm cho thấy các thông tin mà phần mềm độc hại đang tìm kiếm trong hồ sơ người dùng của nạn nhân, bao gồm:

  • Tìm kiếm tất cả các tệp văn bản, tài liệu Word và ví tiền điện tử trên desktop và thư mục “Documents”.
  • Danh sách các ứng dụng và vị trí dự kiến của dữ liệu trong thư mục AppData của hồ sơ người dùng.

Một số ví dụ về đường dẫn mà phần mềm độc hại đang tìm kiếm bao gồm:

  • %USERPROFILE%\AppData\Local\Google\Chrome\User Data
  • %USERPROFILE%\AppData\Local\Microsoft\Edge\User Data
  • %USERPROFILE%\AppData\Roaming\Mozilla\Firefox

Ngoài ra, danh sách còn bao gồm các tiện ích mở rộng ví tiền điện tử từ các trình duyệt dựa trên j88bet Chromium, chẳng hạn như:

  • Metamask, Coinbase, BinanceChain, Tronlink, v.v…

Cuối cùng, phần mềm độc hại cũng tìm kiếm các khóa API và thông tin đăng nhập từ các ứng dụng khác nhau, bao gồm:

  • Khóa API từ Amazon AWS, Google Cloud, Facebook, v.v…
  • Thông tin đăng nhập từ Slack, Twilio, Stripe, v.v…

Chụp Màn Hình Gửi Đến Server C2

Khi xem xét luồng TCP (tcp.stream eq 71), chúng ta thấy rằng một ảnh chụp màn hình của desktop Windows bị nhiễm đã được gửi đến server C2. Hình ảnh này cho thấy một cửa sổ PowerShell chứa dữ liệu kết nối từ lưu lượng web.

Chuyển đổi dữ liệu thành dạng thô và sử dụng trình chỉnh sửa hex để loại bỏ nội dung trước phần đầu của tệp PNG. Kết quả là một hình ảnh hiển thị cửa sổ PowerShell với thông tin kết nối từ lưu lượng web.

Tại cuối luồng TCP, chúng ta tìm thấy danh sách các quy trình đang chạy trên máy Windows bị nhiễm, bao gồm thông tin phần cứng, thông tin đăng nhập từ trình duyệt Edge và một tệp Word có tên Top_secret_ducment.docx.

© 2025 Hải Yến
Built with Hugo
Theme Stack thiết kế bởi Jimmy