情报背景

攻击者在初始的钓鱼邮件与站点内容中充分伪装为某个付费游戏的促销信息，号称通过该游戏可获得价值巨大的限量NFT资产。这种话术构造精准命中部分对该话题感兴趣的目标用户。

钓鱼站点与载荷投递服务等攻击基础设施均采用了与被模仿对象相近的域名，在其后多流程的攻击活动中也运用一系列对抗技术增强自身隐蔽性。

在载荷特征与端侧攻击活动中配合该话术实施伪装是本次攻击活动的一大特点，文件属性等尽可能贴近其所伪造的合法游戏启动器。

值得注意的是后续载荷释放执行的路径中也另有玄机：该路径与合法Steam客户端下载游戏数据的位置保持一致，使得后续载荷拉取执行更加符合游戏的正常执行流程。

特殊的文件释放路径（与合法版本游戏数据存储位置保持一致）：%APPDATA%InternetCacheEOSOverlayBrowserCacheblob_storage72034298-6c55-4cae-bde5-b013ff6304f8

除此之外，攻击者利用端侧产品为了保证文件扫描与云端查杀效率而放弃大文件扫描与上传分析的特性，使用Binary Padding（T1027.001）的技术手段在尾部加入NULL字节，加大文件体积以规避静态检测与在线沙箱上传分析。

简单可行的静态扫描与沙箱查杀对抗效果也许是尽管简单粗暴的Padding手段无法给人工分析带来实际阻碍，却依然在多个Redline相关的攻击事件中被使用的原因。

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括：漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术，以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究，以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术，从攻击视角提供识别风险的方法和手段，为威胁对抗提供决策支撑。