研究人員發(fā)現(xiàn)，被稱為Raspberry Robin的蠕蟲惡意軟件自去年9月以來就一直處于活躍狀態(tài)，并正在通過USB驅(qū)動器“蠕動”到Windows機器上，進而可以使用Microsoft Standard Installer和其他合法流程來安裝惡意文件。

網(wǎng)絡(luò)安全培訓(xùn)" />

　　Red Canary Intelligence的研究人員在秋季首次開始跟蹤這一惡意活動。這一惡意活動最初是由Red Canary檢測工程團隊的Jason Killam在多個具有類似特征的客戶環(huán)境中進行檢測時首次發(fā)現(xiàn)的。

　　Red Canary的Lauren Podber和Stef Rand在周四發(fā)表的一篇博客文章中寫道，蠕蟲病毒一旦通過USB驅(qū)動器傳播到使用者的機器中，該病毒就會依賴msiexec.exe調(diào)用使用者機器中的基礎(chǔ)設(shè)施——該基礎(chǔ)設(shè)施通常由QNAP設(shè)備組成——使用包含受害者用戶和設(shè)備名稱的HTTP請求。他們寫道，研究人員還觀察到Raspberry Robin使用TOR退出節(jié)點作為額外的命令和控制(C&C)基礎(chǔ)設(shè)施。最終，蠕蟲病毒會安裝在受感染的USB上，并找到惡意動態(tài)鏈接庫(DLL)文件。研究人員還表示，雖然研究人員最早在2021年9月就首次注意到Raspberry Robin病毒，但研究人員觀察到的其大部分活動發(fā)生在今年1月。

　　未回答的問題

　　盡管研究人員通過觀察發(fā)現(xiàn)了該惡意活動各種過程和執(zhí)行，但他們也承認這些觀察依然留下了一些懸而未決的問題。研究人員表示，該團隊尚未弄清楚Raspberry Robin病毒如何或在哪里感染外部驅(qū)動器以使其活動永久化，盡管這種感染可能發(fā)生在離線狀態(tài)或“在其他可見度之外”。

　　研究人員承認，他們也不知道為什么Raspberry Robin能夠找到惡意動態(tài)鏈接庫，盡管他們認為這可能是試圖在受感染的系統(tǒng)上建立持久性，但是他們卻沒有足夠的證據(jù)來得出結(jié)論。然而，研究人員表示，圍繞蠕蟲的最大問號是其背后的威脅行為者的目標(biāo)。他們承認：由于缺乏關(guān)于后期活動的額外信息，研究團隊很難對這些活動的目標(biāo)或目的做出推斷。

　　初始訪問和執(zhí)行

　　研究人員表示，受感染的可移動驅(qū)動器——通常是USB設(shè)備——感染了Raspberry Robin蠕蟲病毒快捷LNK文件偽裝成受感染的USB設(shè)備上的合法文件夾。LNK文件是指向并用于打開另一個文件、文件夾或應(yīng)用程序的Windows快捷方式。

　　受感染的驅(qū)動器連接到系統(tǒng)后不久，蠕蟲會更新UserAssist注冊表條目，并在破譯時記錄引用LNK文件的ROT13加密值進行執(zhí)行。例如，研究人員寫道，他們觀察到q:\erpbirel.yax值被破譯為d:\recovery.lnk。研究人員表示，當(dāng)Raspberry Robin使用cmd.exe讀取和執(zhí)行存儲在受感染的外部驅(qū)動器上的文件時，執(zhí)行就開始了。他們指出：到目前為止，該命令在我們看到的Raspberry Robin檢測中是一致的，使其成為潛在[蠕蟲]活動的可靠早期證據(jù)。

　　在下一階段執(zhí)行中，cmd.exe通常會啟動explore.exe和msiexec.exe。研究人員表示，前者的命令行可以是外部設(shè)備的混合大小寫引用——一個人的名字，如LAUREN V;也可以是LNK文件的名稱。研究人員還補充說，蠕蟲在其命令中也廣泛使用混合大小寫字母，這種做法最有可能避免他們被發(fā)現(xiàn)。

　　次要執(zhí)行

　　研究人員透露，Raspberry Robin推出的第二款可執(zhí)行文件msiexec.exe，試圖將外部網(wǎng)絡(luò)通信到惡意域，用于達到命令和控制的目的。在研究人員觀察到的幾個活動示例中，蠕蟲使用msiexec.exe安裝了惡意DLL文件，盡管如前所述，他們?nèi)匀徊淮_定DLL的目的是什么。他們還觀察到，蠕蟲使用msiexec.exe啟動合法的Windows實用程序fodhelper.exe，這反過來又催生rundll32.exe來執(zhí)行惡意命令。

　　研究人員指出：fodhelper.exe啟動的流程具有更高的管理權(quán)限，而無需用戶帳戶控制提示。他們說，由于這對公用事業(yè)來說是一種不尋常且極具危險的行為，這項活動可用于檢測受感染機器上是否存在Raspberry Robin。研究人員表示，rundll32.exe命令然后啟動另一個合法的Windows實用程序-odbcconf.exe，并傳遞其他命令來執(zhí)行和配置最近安裝的惡意DLL文件。

　　更多關(guān)于“網(wǎng)絡(luò)安全培訓(xùn)”的問題，歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學(xué)，課程大綱緊跟企業(yè)需求，更科學(xué)更嚴(yán)謹，每年培養(yǎng)泛IT人才近2萬人。不論你是零基礎(chǔ)還是想提升，都可以找到適合的班型，千鋒教育隨時歡迎你來試聽。