Red Canary警告Raspberry Robin恶意软件会通过USB驱动器实现传播

2022年05月10日 09:50 次阅读 稿源:cnBeta.COM 条评论

Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件,可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC 。其实早在 2021 年 11 月,网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫”。但自 9 月以来,Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪。

访问:

阿里云“无影云电脑” 支持企业快速实现居家办公

1.png

(来自:Red Canary 官网

除了潜藏旗下的恶意软件性质,我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。

2.jpg

攻击流程图

当用户将受感染的 USB 驱动器连接到他们的计算机时,Raspberry Robin 就会在暗地里开启传播。

3.jpg

利用 ROT13.lnk 文件来修改注册表

该蠕虫会将自己伪装成 .lnk 快捷方式文件,然后调用 Windows 命令提示符(cmd.exe)来启动恶意软件。

4.jpg

Raspberry Robin 的 cmd.exe 命令

接着它会利用微软标准安装程序(MSIexec.exe)连接到远程的命令与控制(C2)服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹。

5.jpg

引用设备名称的混合大小写命令

6.jpg

Red Canary 推测,Raspberry Robin 会通过从 C2 服务器安装恶意的动态链接库(DLL)文件,以维持长期潜伏状态。

7.jpg

Raspberry Robin 的恶意 msiexec.exe 命令

然后该恶意软件会利用 Windows 中包含的两个实用程序来调用 DLL —— 其中 Windows 设置管理器(fodhelper)旨在绕过用户账户控制(UAC),而 ODBC 驱动程序配置工具(odbcconf)则用于执行与配置 DLL 。

8.jpg

恶意 rundll32.exe 命令

不过安全研究人员承认这只是一个可行的假设,当前他们尚不明确相关 DLL 的作用、也未搞清楚该恶意软件是如何利用 USB 驱动器实现传播的。

对文章打分

Red Canary警告Raspberry Robin恶意软件会通过USB驱动器实现传播

1 (50%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan