研究人員發(fā)現(xiàn),被稱為Raspberry Robin的蠕蟲(chóng)惡意軟件自去年9月以來(lái)就一直處于活躍狀態(tài),并正在通過(guò)USB驅(qū)動(dòng)器“蠕動(dòng)”到Windows機(jī)器上,進(jìn)而可以使用Microsoft Standard Installer和其他合法流程來(lái)安裝惡意文件。
Red Canary Intelligence的研究人員在秋季首次開(kāi)始跟蹤這一惡意活動(dòng)。這一惡意活動(dòng)最初是由Red Canary檢測(cè)工程團(tuán)隊(duì)的Jason Killam在多個(gè)具有類似特征的客戶環(huán)境中進(jìn)行檢測(cè)時(shí)首次發(fā)現(xiàn)的。
Red Canary的Lauren Podber和Stef Rand在周四發(fā)表的一篇博客文章中寫(xiě)道,蠕蟲(chóng)病毒一旦通過(guò)USB驅(qū)動(dòng)器傳播到使用者的機(jī)器中,該病毒就會(huì)依賴msiexec.exe調(diào)用使用者機(jī)器中的基礎(chǔ)設(shè)施——該基礎(chǔ)設(shè)施通常由QNAP設(shè)備組成——使用包含受害者用戶和設(shè)備名稱的HTTP請(qǐng)求。他們寫(xiě)道,研究人員還觀察到Raspberry Robin使用TOR退出節(jié)點(diǎn)作為額外的命令和控制(C&C)基礎(chǔ)設(shè)施。最終,蠕蟲(chóng)病毒會(huì)安裝在受感染的USB上,并找到惡意動(dòng)態(tài)鏈接庫(kù)(DLL)文件。研究人員還表示,雖然研究人員最早在2021年9月就首次注意到Raspberry Robin病毒,但研究人員觀察到的其大部分活動(dòng)發(fā)生在今年1月。
未回答的問(wèn)題
盡管研究人員通過(guò)觀察發(fā)現(xiàn)了該惡意活動(dòng)各種過(guò)程和執(zhí)行,但他們也承認(rèn)這些觀察依然留下了一些懸而未決的問(wèn)題。研究人員表示,該團(tuán)隊(duì)尚未弄清楚Raspberry Robin病毒如何或在哪里感染外部驅(qū)動(dòng)器以使其活動(dòng)永久化,盡管這種感染可能發(fā)生在離線狀態(tài)或“在其他可見(jiàn)度之外”。
研究人員承認(rèn),他們也不知道為什么Raspberry Robin能夠找到惡意動(dòng)態(tài)鏈接庫(kù),盡管他們認(rèn)為這可能是試圖在受感染的系統(tǒng)上建立持久性,但是他們卻沒(méi)有足夠的證據(jù)來(lái)得出結(jié)論。然而,研究人員表示,圍繞蠕蟲(chóng)的最大問(wèn)號(hào)是其背后的威脅行為者的目標(biāo)。他們承認(rèn):由于缺乏關(guān)于后期活動(dòng)的額外信息,研究團(tuán)隊(duì)很難對(duì)這些活動(dòng)的目標(biāo)或目的做出推斷。
初始訪問(wèn)和執(zhí)行
研究人員表示,受感染的可移動(dòng)驅(qū)動(dòng)器——通常是USB設(shè)備——感染了Raspberry Robin蠕蟲(chóng)病毒快捷LNK文件偽裝成受感染的USB設(shè)備上的合法文件夾。LNK文件是指向并用于打開(kāi)另一個(gè)文件、文件夾或應(yīng)用程序的Windows快捷方式。
受感染的驅(qū)動(dòng)器連接到系統(tǒng)后不久,蠕蟲(chóng)會(huì)更新UserAssist注冊(cè)表?xiàng)l目,并在破譯時(shí)記錄引用LNK文件的ROT13加密值進(jìn)行執(zhí)行。例如,研究人員寫(xiě)道,他們觀察到q:\erpbirel.yax值被破譯為d:\recovery.lnk。研究人員表示,當(dāng)Raspberry Robin使用cmd.exe讀取和執(zhí)行存儲(chǔ)在受感染的外部驅(qū)動(dòng)器上的文件時(shí),執(zhí)行就開(kāi)始了。他們指出:到目前為止,該命令在我們看到的Raspberry Robin檢測(cè)中是一致的,使其成為潛在[蠕蟲(chóng)]活動(dòng)的可靠早期證據(jù)。
在下一階段執(zhí)行中,cmd.exe通常會(huì)啟動(dòng)explore.exe和msiexec.exe。研究人員表示,前者的命令行可以是外部設(shè)備的混合大小寫(xiě)引用——一個(gè)人的名字,如LAUREN V;也可以是LNK文件的名稱。研究人員還補(bǔ)充說(shuō),蠕蟲(chóng)在其命令中也廣泛使用混合大小寫(xiě)字母,這種做法最有可能避免他們被發(fā)現(xiàn)。
次要執(zhí)行
研究人員透露,Raspberry Robin推出的第二款可執(zhí)行文件msiexec.exe,試圖將外部網(wǎng)絡(luò)通信到惡意域,用于達(dá)到命令和控制的目的。在研究人員觀察到的幾個(gè)活動(dòng)示例中,蠕蟲(chóng)使用msiexec.exe安裝了惡意DLL文件,盡管如前所述,他們?nèi)匀徊淮_定DLL的目的是什么。他們還觀察到,蠕蟲(chóng)使用msiexec.exe啟動(dòng)合法的Windows實(shí)用程序fodhelper.exe,這反過(guò)來(lái)又催生rundll32.exe來(lái)執(zhí)行惡意命令。
研究人員指出:fodhelper.exe啟動(dòng)的流程具有更高的管理權(quán)限,而無(wú)需用戶帳戶控制提示。他們說(shuō),由于這對(duì)公用事業(yè)來(lái)說(shuō)是一種不尋常且極具危險(xiǎn)的行為,這項(xiàng)活動(dòng)可用于檢測(cè)受感染機(jī)器上是否存在Raspberry Robin。研究人員表示,rundll32.exe命令然后啟動(dòng)另一個(gè)合法的Windows實(shí)用程序-odbcconf.exe,并傳遞其他命令來(lái)執(zhí)行和配置最近安裝的惡意DLL文件。
更多關(guān)于“網(wǎng)絡(luò)安全培訓(xùn)”的問(wèn)題,歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學(xué),課程大綱緊跟企業(yè)需求,更科學(xué)更嚴(yán)謹(jǐn),每年培養(yǎng)泛IT人才近2萬(wàn)人。不論你是零基礎(chǔ)還是想提升,都可以找到適合的班型,千鋒教育隨時(shí)歡迎你來(lái)試聽(tīng)。
京公網(wǎng)安備 11010802030320號(hào)