Cơ chế hoạt động và kỹ thuật đánh cắp dữ liệu của RedLine Stealer

Reading Time: 10 minutes

Trong vài năm trở lại đây, các nhóm tấn công mạng ngày càng lạm dụng các biến thể mã độc đánh cắp thông tin (infostealer) để thu thập tài khoản đăng nhập và thông tin nhạy cảm của mục tiêu tấn công. Những dữ liệu này sau đó thường được sử dụng để xâm nhập sâu hơn vào hệ thống doanh nghiệp, triển khai các cuộc tấn công ransomware, hoặc rao bán trên các chợ đen ngầm.

Giữa vô số dòng infostealer xuất hiện trong thời gian qua, RedLine từng là cái tên nổi bật nhất. Theo báo cáo của Kaspersky, trong giai đoạn 2020–2023, RedLine chiếm tới 51% tổng số ca lây nhiễm infostealer. Mặc dù tần suất xuất hiện của RedLine đã giảm trong vài năm gần đây, mã độc này vẫn được sử dụng rộng rãi trong các chiến dịch tấn công thực tế.

RedLine là một dạng malware-as-a-service (MaaS) thuộc nhóm infostealer tức là công cụ đánh cắp thông tin được rao bán và cho thuê công khai trên các diễn đàn tội phạm mạng và cả kênh Telegram. Lần đầu chuyên gia ghi nhận RedLine hoạt động trên hệ điều hành Windows là vào tháng 2/2020.

Mục tiêu của RedLine là cố gắng thu thập thông tin đăng nhập Windows, dữ liệu trình duyệt (mật khẩu, cookie, lịch sử, autofill), ví tiền điện tử và nhiều loại dữ liệu nhạy cảm khác. Tiếp theo chúng ta cũng tìm hiểu về cách thức hoạt động của loại mã độc này

Cách thức hoạt đông

1. Xâm nhập thiết bị

• RedLine thường được phát tán qua email lừa đảo (phishing), tệp nén hoặc thực thi giả mạo (.exe, .msi), hoặc các bản cài đặt trò chơi/ứng dụng đã bị cài sẵn mã độc.
• Khi người dùng chạy tệp, malware giải mã và thực thi payload chính trong môi trường Windows.

2. Thiết lập quyền kiểm soát

• Mã độc bắt đầu bằng cách giải mã cấu hình để kết nối với máy chủ C2, gồm tên miền hoặc địa chỉ IP của máy chủ C2, cũng như ID và khóa kết nối được sử dụng để thiết lập kết nối an toàn. Tiếp theo nó sẽ liên tục kiểm tra kết nối liên kết với máy chủ C2 để tải xuống các đối số lệnh hoặc các thiết lập cấu hình.
• Tự động tạo registry key hoặc scheduled task để khởi động cùng hệ thống.
• Khởi tạo mutex để tránh chạy nhiều phiên bản cùng lúc.

3. Thu thập dữ liệu và gửi dữ liệu

• Credentials Windows: mật khẩu lưu trong hệ thống (Credential Manager, các file SAM/LSA caches).
• Dữ liệu trình duyệt: các dữ liệu được thu thập gồm mật khẩu, cookie, autofill, lịch sử web, tab đang mở, extension data
• Ví tiền điện tử: mã độc thu thập khóa riêng tư, cụm từ khôi phục và thông tin đăng nhập ví từ nhiều loại ví
• File & hệ thống khác: mã độc cũng có thể trích xuất thông tin đăng nhập và tệp cấu hình đã lưu trữ từ email và máy khách VPN và thu thập tệp nhạy cảm từ Desktop, Documents, AppData.

Khi đã thu thập được các thông tin cần thiết, mã độc sẽ không gửi ngay mọi thứ ra ngoài dưới dạng thô nó đóng gói, nén và mã hóa dữ liệu trước khi truyền về máy chủ chỉ huy

• Dữ liệu được nén và mã hóa base64 trước khi gửi về C2 server qua HTTP, đôi khi kết hợp proxy hoặc TOR để tránh bị chặn.
• Máy chủ C2 có thể là IP động, domain ẩn danh hoặc domain tạm thời, thường đăng ký với thông tin giả để che giấu danh tính chủ sở hữu.

5. Ẩn mình

• Obfuscation & packing: payload được nén, mã hóa hoặc thay đổi thường xuyên để né antivirus.
• Anti-VM / anti-sandbox / anti-debug: malware kiểm tra môi trường chạy, nếu phát hiện sandbox hoặc VM sẽ không thực thi đầy đủ.
• Sleep & throttling: giảm hoạt động nếu phát hiện có các giải pháp bảo vệ, tránh tạo traffic bất thường.

6. Hoạt động bổ sung

• Một số biến thể còn có module bổ sung: scan mạng nội bộ, thu thập token phần mềm, mở đường cho malware khác.
• Có khả năng tự cập nhật từ C2 để tải module mới hoặc thay đổi hành vi.

Bây giờ khi đã hiểu rõ cách RedLine hoạt động, câu hỏi quan trọng là làm sao để nhận ra dấu hiệu bị nhiễm trước khi quá muộn?

3 Dấu hiệu nhận biết & cách phát hiện

Dấu hiệu nhận biết

Dấu hiệu	Mô tả chi tiết
Hệ thống hoạt động bất thường	Máy tính bỗng chạy chậm, giật lag dù không cài thêm phần mềm hay thay đổi cấu hình. Đây có thể là dấu hiệu mã độc đang âm thầm sử dụng tài nguyên hệ thống để thực thi các tác vụ đánh cắp dữ liệu.
Hoạt động mạng lạ	Lưu lượng dữ liệu gửi đi tăng bất thường, đặc biệt vào thời điểm ngoài giờ làm việc. Đây là dấu hiệu khả nghi cho thấy mã độc đang exfiltrate dữ liệu về máy chủ chỉ huy (C2).
Đăng nhập tài khoản trái phép	Xuất hiện cảnh báo đăng nhập từ vị trí hoặc thiết bị lạ. Điều này cho thấy thông tin đăng nhập có thể đã bị đánh cắp và đang bị sử dụng trái phép.
Dữ liệu tự điền (autofill) bị xâm phạm	Mật khẩu hoặc dữ liệu lưu trên trình duyệt không còn hoạt động, hoặc có hoạt động lạ từ tài khoản sử dụng autofill. Đây là dấu hiệu mã độc đang khai thác thông tin trình duyệt.
Ứng dụng hoặc tệp lạ xuất hiện	Hệ thống có file hoặc ứng dụng lạ mà bạn không hề tải hoặc cài đặt. Mã độc có thể đang giả dạng phần mềm hợp pháp để che giấu sự tồn tại của nó.
Cảnh báo từ phần mềm bảo mật	Antivirus, IDS/IPS hoặc công cụ EDR cảnh báo hành vi đáng ngờ. Đây có thể là thời điểm mã độc bị phát hiện hoặc đang cố gắng né tránh giải pháp bảo mật.

Cách phát hiện

Việc nắm rõ những biểu hiện đặc trưng và kỹ thuật kiểm tra phù hợp là bước đầu tiên để kịp thời phát hiện và ngăn chặn mã độc trước khi dữ liệu bị đánh cắp.

Bước 1: Phân tích tiến trình và registry

1. Mở Process Explorer hoặc Task Manager nâng cao để kiểm tra các tiến trình lạ:
   • Tìm kiếm các tên giả mạo trình duyệt, phần mềm dịch vụ và các tên lạ so với các phần mền đã cài
   • Kiểm tra các tiến trình chạy từ %AppData%\\Roaming, %AppData%\\Local\\Temp.
2. Kiểm tra registry autorun:
   • HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
   • HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
   • Tìm các khóa mới, không rõ nguồn gốc trong 2 thư mục trên
3. Tìm mutex lạ:
   • RedLine tạo mutex để tránh chạy nhiều phiên bản, có thể kiểm tra điều này bằng Sysinternals hoặc EDR.

Bước 2: Giám sát lưu lượng mạng

1. Dùng Wireshark, Zeek, hoặc công cụ SIEM để kiểm tra kết nối HTTP/HTTPS đến các IP hoặc domain lạ.
2. Quan sát lưu lượng dữ liệu bất thường:
   • Dữ liệu gửi đi nhiều hơn bình thường, đặc biệt vào các khung giờ không phổ biến.
   • Traffic hướng đến các máy chủ ở quốc gia lạ hoặc domain mới đăng ký.

Bước 3: Phân tích file và hệ thống

1. Kiểm tra các file thực thi trong thư mục:
   • %AppData%\\Roaming
   • %AppData%\\Local\\Temp
2. So sánh hash file với cơ sở dữ liệu IoC từ:
   • VirusTotal
   • Threat intelligence feed từ Kaspersky, IBM, hoặc các nguồn mở khác.
3. Xem các tệp liên quan đến ví tiền điện tử, trình duyệt có bị thay đổi hoặc sao chép không.

Bước 4: Phân tích hành vi

1. Chạy file nghi ngờ trong sandbox hoặc VM để quan sát:
   • Xem file thực thi có thực hiện Hook API của trình duyệt hay thực hiện keylogging.
   • Kiểm tra xem có các bước tạo autorun, scheduled task.
   • Download module bổ sung từ C2.
2. Quan sát các cơ chế anti-debug, anti-VM mà RedLine sử dụng.

Bước 5: Dùng YARA & Sigma rules

1. Sử dụng YARA rule giúp phát hiện signature trong file, memory hoặc registry.
2. Sử dụng Sigma rule giúp phát hiện hành vi RedLine trong Windows Event Log.
3. Kết hợp YARA + Sigma với SIEM để tạo cảnh báo tự động cho mạng doanh nghiệp.

Bước 6: Sử dụng EDR / OSQuery nâng cao

1. Tạo query giúp tìm kiếm nhanh:
   • Process lạ, mutex, registry key, network connection liên quan RedLine.
2. Dùng EDR để:
   • Tự động cảnh báo nếu xuất hiện hành vi malware.
   • Isolate host nghi ngờ trước khi malware lan rộng.

Bước 7: Cross-check với Threat Intelligence

• So sánh các IoC, domain, IP, hash, mutex với feed từ Kaspersky, IBM X-Force, MalwareBazaar…
• Xác nhận biến thể RedLine đang hoạt động và cập nhật phương án phòng ngừa.

Khi bạn đã xác định hoặc có căn cứ nghi ngờ máy bị nhiễm RedLine, bước tiếp theo không phải là cố gắng xóa ngay cho nhanh mà là cô lập, bảo toàn bằng chứng và thực hiện quy trình xử lý có phương pháp.

4 Loại bỏ & khôi phục hệ thống

Giai đoạn này đòi hỏi sự cẩn trọng bởi chỉ cần bỏ sót một tiến trình, tệp persistence hay cấu hình liên kết C2, mã độc có thể quay lại và tiếp tục đánh cắp dữ liệu.

1. Cô lập thiết bị

Khi đã xác định mã độc, ngắt ngay kết nối mạng (LAN/Wi-Fi) để ngăn malware gửi dữ liệu ra ngoài. Trong môi trường doanh nghiệp, tách host khỏi domain hoặc VLAN để malware không lây lan sang các máy khác.

Ghi lại thông tin IP, hostname và log mạng để phục vụ phân tích sau này nếu cần.

Xem thêm: Phần mềm giám sát mạng LAN cho doanh nghiệp

2. Dừng các tiến trình

Mở Process Explorer hoặc Task Manager nâng cao và terminate mọi tiến trình lạ liên quan mã độc.

Tập trung vào các tiến trình chạy từ %AppData%\\Roaming, %AppData%\\Local\\Temp hoặc những tiến trình giả danh phần mềm phổ biến.

3. Gỡ persistence

Mã độc thường tạo registry key và scheduled task để tự khởi động cùng hệ thống.

• Xóa các key lạ tại:
  • HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
  • HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
• Xóa tất cả scheduled task, mutex, service lạ mà malware tạo ra.Điều này đảm bảo mã độc không tự khởi động lại sau khi bị terminate.

4. Xóa file độc hại

Tìm và xóa các tệp thực thi, DLL hoặc script trong:

• %AppData%\\Roaming
• %AppData%\\Local\\Temp
• Desktop, Downloads

So sánh hash file với IoC đã xác định để chắc chắn bạn chỉ xóa file liên quan mã độc.

5. Quét toàn bộ hệ thống

Chạy full scan với antivirus/EDR cập nhật mới nhất để phát hiện các tệp, registry key, hoặc tiến trình còn sót.

Kiểm tra Sysmon Event Log (EventID 1,3,10) để chắc chắn không còn dấu vết mã độc trong memory hoặc network.

6. Đổi mật khẩu & dọn trình duyệt

Ngay sau khi loại bỏ malware:

• Thay đổi tất cả mật khẩu Windows, email, VPN, và các ứng dụng quan trọng.
• Xóa cache, cookies, autofill trong trình duyệt.
• Khôi phục dữ liệu từ backup sạch, đảm bảo không chứa malware.

7. Giám sát hậu xử lý

• Giám sát lưu lượng mạng và tiến trình trong vài ngày tiếp theo.
• Kiểm tra lại registry, scheduled task, mutex, services để đảm bảo không còn dấu vết mã độc.

8. Rebuild hệ thống nếu cần

Nếu mã độc đã xâm nhập sâu hoặc nghi ngờ có backdoor, rebuild toàn bộ OS là phương án an toàn nhất.

Cài lại hệ điều hành, patch đầy đủ, cài phần mềm bảo mật trước khi khôi phục dữ liệu từ backup.

Theo dõi hệ thống trong ít nhất 1–2 tuần để đảm bảo không còn dấu hiệu tái nhiễm.

5 Phòng chống & giảm thiểu rủi ro

Cách phòng chống mã độc cho cá nhân

1. Lưu trữ mật khẩu an toàn
   • Đừng lưu mật khẩu trực tiếp trên trình duyệt.
   • Sử dụng password manager được mã hóa, như Locker, để quản lý mật khẩu một cách an toàn.
2. Xác thực đa yếu tố
   • Sử dụng xác thực 2FA với các dịch vụ quan trọng
3. Chỉ tải phần mềm từ nguồn đáng tin cậy
   • Tránh cài đặt phần mềm lậu hoặc từ nguồn không xác thực.
   • Chỉ tải phần mềm từ trang chính thức của nhà cung cấp, ví dụ: Microsoft, Adobe, hoặc các nhà phát triển uy tín khác.
4. Cập nhật hệ thống và ứng dụng thường xuyên
   • Luôn cài đặt bản cập nhật mới nhất cho hệ điều hành, ứng dụng và phần mềm bảo mật.
   • Các patch bảo mật thường vá các lỗ hổng mà malware có thể khai thác.
5. Sử dụng phần mềm bảo mật và quét định kỳ
   • Cài antivirus/anti-malware và giữ phần mềm luôn được cập nhật cùng với cơ sở dữ liệu định nghĩa virus mới nhất.
   • Thường xuyên quét toàn bộ hệ thống và các file nhận được từ email, USB hoặc tải xuống internet.
6. Báo cáo hành vi đáng ngờ
   • Nếu phát hiện đăng nhập trái phép, giao dịch không xác nhận, hay hành vi bất thường, hãy thông báo ngay với bộ phận IT hoặc bảo mật của tổ chức, hoặc các cơ quan chức năng liên quan.
   • Hành động nhanh giúp hạn chế rủi ro và ngăn malware lây lan hoặc đánh cắp thêm dữ liệu.

Cách phòng chống mã độc cho tổ chức

1. Vô hiệu hóa các cổng và giao thức không cần thiết
   • Tắt các dịch vụ như Telnet, Microsoft RPC, FTP nếu không cần thiết cho hoạt động kinh doanh, giảm bề mặt tấn công cho malware như mã độc.
2. Cô lập thiết bị dùng hệ điều hành cũ
   • Nếu không thể cập nhật patch bảo mật cho các thiết bị legacy, cô lập chúng khỏi mạng chính để hạn chế rủi ro lây nhiễm.
3. Quản lý tài khoản người dùng và hạn chế quyền truy cập
   • Giám sát toàn bộ tài khoản và vô hiệu hóa tài khoản không hoạt động.
   • Khi nhận thông tin rằng tài khoản bị rò rỉ, yêu cầu cập nhật mật khẩu ngay lập tức.
   • Chỉ cấp quyền quản trị (privileged access) cho nhân sự được phép.
   • Giám sát chặt chẽ các tài khoản này để giảm rủi ro bị lợi dụng hoặc xâm phạm.
4. Đào tạo nhân viên về phishing và tấn công mạng
   • Thường xuyên tổ chức training, giúp nhân viên nhận biết và phản ứng với email lừa đảo, URL độc hại, file đính kèm đáng ngờ.
5. Ghi log các sự kiện trong hệ thống và tích hợp với SIEM
   • Kích hoạt logging đầy đủ: Sysmon, DNS logs, proxy logs, EDR telemetry để phục vụ phát hiện sớm hoặc điều tra hậu nhiễm.
   • Tích hợp SIEM để tạo cảnh báo tự động cho mạng doanh nghiệp.
6. Sử dụng giải pháp EDR và bảo mật email và web
   • Cài Endpoint Detection and Response (EDR) trên thiết bị người dùng cuối để giám sát liên tục, phát hiện và phản ứng với các mối đe dọa.
   • Triển khai bộ lọc bảo mật email mạnh mẽ để phát hiện email lừa đảo có chứa trình tải mã độc hoặc liên kết. Chặn hoặc cách ly email có tệp đính kèm .exe, .scr hoặc tệp đính kèm bất thường trừ khi thực sự cần thiết.
   • Triển khai bộ lọc DNS và URL để chặn truy cập vào các tên miền/IP độc hại đã biết và các danh mục như trang web vi phạm bản quyền hoặc tên miền mới xuất hiện.
7. Giám sát lưu lượng mạng
   • Theo dõi kỹ lưu lượng inbound và outbound để phát hiện các kết nối lạ hoặc các dữ liệu bị exfiltrate.
   • Chú ý các Indicators of Compromise (IoC) liên quan mã độc Stealer, ví dụ: kết nối đến domain/IP nghi ngờ hoặc POST request mã hóa.

6 Kết luận

RedLine Stealer vẫn là một trong những malware đánh cắp thông tin phổ biến nhất hiện nay. Điều quan trọng là RedLine không chỉ là một mối đe dọa kỹ thuật, mà còn là lời nhắc nhở về cách mà kẻ tấn công luôn tìm kiếm cơ hội khai thác thông tin nhạy cảm.

Việc phòng ngừa cần kết hợp nhận thức người dùng, quản lý mật khẩu, cập nhật hệ thống, giám sát mạng và sử dụng các công cụ bảo mật hiện đại, thực hành bảo mật chủ động và liên tục cập nhật thông tin về mối đe dọa là yếu tố then chốt để bảo vệ dữ liệu và hệ thống khỏi RedLine và các loại info-stealer khác.

Bài viết cùng chủ đề:

• Dark Web là gì? Vì sao SME phải quan tâm và giám sát rò rỉ dữ liệu từ sớm
• Threat Intelligence Platform: Chiến lược bảo mật chủ động cho doanh nghiệp
• MetaStealer – Khi macOS không còn miễn nhiễm với infostealer