1.概述

安天自2021年11月发布《通过视频网站传播的RedLine窃密木马分析》[1]报告后，始终对此类借助视频分享网站传播的攻击活动保持关注。近日，安天CERT在监测通过视频网站传播RedLine窃密木马的攻击活动中发现攻击者增加了自动登录视频网站发布恶意视频的攻击模块，实现了“发布视频->窃取账号->用窃取到的账号进一步传播”的攻击流程自动化体系，增强了恶意代码传播扩散的能力。

攻击者利用视频网站YouTube上传破解软件、游戏作弊程序等内容的视频，并在视频简介中添加恶意下载链接，诱导用户下载恶意代码。恶意代码会释放并执行RedLine窃密木马、Ethminer挖矿程序，以及利用受害者的账号上传钓鱼视频的自动传播模块。直接在受害者设备和网络环境中执行视频上传功能的攻击手段可在一定程度上绕过平台的风险控制机制，提高攻击成功率。

RedLine窃密木马最早于2020年3月被发现，是流行的窃密木马家族之一，国内外传播较为广泛。该木马具备多种信息窃取功能，如自动窃取目标系统浏览器、FTP、VPN、即时通讯软件的敏感信息，以及屏幕截图及搜集指定文件等功能。该木马以一次性购买或订阅的形式，在地下论坛出售。

目前该攻击活动仍处于活跃状态，安天CERT将持续跟进分析。经验证，安天智甲终端防御系统（简称IEP）可实现对该窃密木马、挖矿程序等恶意软件的有效查杀。

2.事件对应的ATT&CK映射图谱

事件对应的技术特点分布图：

具体ATT&CK技术行为描述表：

表 2?1 ATT&CK技术行为描述表

3.防护建议

为有效防御此类恶意代码，提升安全防护水平，安天建议企业采取如下防护措施：

3.1 终端防护

1.安装终端防护系统：安装反病毒软件，建议安装安天智甲终端防御系统；

2.加强口令强度：避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

3.部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

3.2 网站传播防护

1.建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载，下载后使用反病毒软件进行扫描；

2.建议使用沙箱环境执行可疑的文件，在确保安全的情况下再使用主机执行。安天追影威胁分析系统（PTA）采用深度静态分析与沙箱动态加载执行的组合机理，可有效检出分析鉴定各类已知与未知威胁。

3.3 遭受攻击及时发起应急响应

联系应急响应团队：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天7*24小时服务热线：400-840-9234。

经验证，安天智甲终端防御系统（简称IEP）可实现对该窃密木马、挖矿程序等恶意软件的有效查杀。

4.攻击流程

攻击者在视频网站YouTube上传钓鱼视频诱导用户下载包含恶意代码的压缩包。用户下载并执行其中的恶意代码后，其中的自解压程序会释放多个exe文件，包括RedLine窃密木马cool.exe、挖矿程序h**.exe以及用于自动传播恶意代码的AutoRun.exe、nir.exe、p**.bat、j**.bat等（不文明词语以*隐去）。攻击流程如下图所示。

详细攻击流程描述如下。

1. 攻击者向视频网站Youtube投递钓鱼视频（含有恶意压缩包下载地址）；
2. 受害者下载恶意压缩包，压缩包中的Installer.exe自解压释放多个exe及bat文件后运行cool.exe、h**.exe及AutoRun.exe；
3. cool.exe为RedLine窃密木马，能够窃取系统信息、浏览器数据、软件配置等重要文件并回传至C2；
4. h**.exe为挖矿程序，利用存储在自身资源中的RunPE.dll将挖矿程序ethminer.exe镂空注入到explorer.exe中执行；
5. AutoRun.exe为自动传播程序，运行p**.bat以利用nir.exe以无窗口隐藏模式启动j**.bat。j**.bat依次运行MakiseKurisu.exe、download.exe和upload.exe；
6. MakiseKurisu.exe窃取浏览器中的Cookies，并将其存储到临时文件中；
7. download.exe下载7z压缩包，其中包含多组用于后续上传的钓鱼视频及配套图片封面、描述文本；
8. upload.exe利用临时文件中Youtube及Google的Cookie，将下载的视频上传到Youtube。

5.样本分析

5.1 样本标签

表5?1 二进制可执行文件

5.2 详细分析

压缩包中包含Installer.exe及多个用于伪装的正常DLL文件。

Installer.exe为WinRAR自解压程序，会将多个exe及bat文件释放到%Temp%目录下，并依次执行cool.exe、hui.exe、AutoRun.exe。

5.2.1 RedLine窃密木马cool.exe

cool.exe外层加载器使用C/C++编写，执行后利用进程镂空技术加载RedLine窃密木马。

检测系统语言区域，若为“亚美尼亚、阿塞拜疆、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、塔吉克斯坦、乌兹别克斯坦、乌克兰、俄罗斯”之一，则退出自身，不再继续执行。

使用C#语言中的ChannelFactory与C2服务器45.150.108.67:80进行TCP通信，获取待窃密的数据列表等配置信息，目前该服务器已失效。

RedLine窃密木马能够窃取硬件信息、浏览器数据（保存的密码、Cookie、自动填充、信用卡）、FTP客户端数据、部分VPN软件配置等，还可以根据C2配置收集指定路径或文件名格式的文件。详情可参考安天此前发布的报告《通过视频网站传播的RedLine窃密木马分析》[1]。

5.2.2 挖矿模块h**.exe

修改AmsiScanBuffer反病毒API函数入口点代码，避免后续执行的Powershell代码被反病毒程序查杀。

图5?6 修改反病毒API入口点

将自身复制到%Appdata%\Google\Chrome\updater.exe并设置计划任务或自启动注册表项。

从资源“gtoplrfnypylyb”中解密出一个zip压缩包，压缩包内含挖矿程序“ethminer.exe”。

从资源“zwslgktgnwpvyauynyb”中解密出载荷“RunPE.dll”，用于将PE文件镂空注入到explorer.exe中执行。

注入的PE文件为上述压缩包中的Ethminer挖矿程序。

5.2.3 自启动模块AutoRun.exe

AutoRun.exe功能为将自身复制到启动（Startup）路径下，实现自启动。

然后执行p**.bat。

p**.bat的功能为利用nir.exe以后台隐藏模式启动j**.bat。j**.bat功能为启动MakiseKurisu.exe、download.exe和upload.exe。

5.2.4 凭据收集模块MakiseKurisu.exe

MakiseKurisu.exe在内存中解密获得.net程序input.exe，并使用CLR API函数从入口点执行，input.exe功能为从资源中使用GZip解压获得一个.net PE文件并加载执行。

被加载的PE文件为凭据收集程序，会收集浏览器Cookies和保存的密码保存到%Temp%路径下。

5.2.5 数据下载模块download.exe

样本为node.js打包生成的可执行文件，主要功能为从Github获取下载链接，然后通过该链接下载后续自动传播所需的视频、文件。相关存储库如下。

下载的压缩包中包含了46组文件，每组中包含视频、封面、简介、标签、标题，用于后续视频上传。这些视频的主题主要为游戏外挂和破解软件，但实际简介中诱导观众下载的链接指向的均为恶意代码。

5.2.6 视频上传模块upload.exe

该样本也为node.js打包生成的可执行文件，功能为利用puppeteer库上传钓鱼视频到Youtube视频网站。读取MakiseKurisu.exe收集的Cookie信息，从中筛选获得youtube.com及google相关域名下的Cookie信息（可用于youtube.com的登录认证）。

利用获取到的Cookie上传视频。

上传成功的视频示例如下。

6.总结

本次攻击活动中，攻击者利用视频网站YouTube上传破解软件、游戏作弊程序等内容的钓鱼视频，并在视频简介中添加恶意下载链接，诱导用户下载恶意代码。恶意代码能够对用户主机进行窃密攻击和挖矿攻击，形成了“发布视频->窃取账号->用窃取到的账号进一步传播”的攻击流程自动化体系。

用户应提高警惕，避免从未知来源下载软件，若发现感染，应立即进行全面查杀，并及时在安全环境中修改密码。目前，该攻击活动仍在活跃中，安天CERT将会持续跟进分析。

IoCs

附录：参考资料

1. 通过视频网站传播的RedLine窃密木马分析

https://www.antiy.cn/research/notice&report/research_report/20211125.html