RedCanary警告RaspberryRobin恶意软件 通过外部硬盘驱动器而感染Windows

时间:2022-05-10 10:37:28 来源: cnBeta.COM


Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件,可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC 。其实早在 2021 年 11 月,网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫”。但自 9 月以来,Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪。

1.png

除了潜藏旗下的恶意软件质,我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。

2.jpg

当用户将受感染的 USB 驱动器连接到他们的计算机时,Raspberry Robin 就会在暗地里开启传播。

3.jpg

利用 ROT13.lnk 文件来修改注册表

该蠕虫会将自己伪装成 .lnk 快捷方式文件,然后调用 Windows 命令提示符(cmd.exe)来启动恶意软件。

4.jpg

接着它会利用微软标准安装程序(MSIexec.exe)连接到远程的命令与控制(C2)服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹。

5.jpg

引用设备名称的混合大小写命令

6.jpg

Red Canary 推测,Raspberry Robin 会通过从 C2 服务器安装恶意的动态链接库(DLL)文件,以维持长期潜伏状态。

7.jpg

然后该恶意软件会利用 Windows 中包含的两个实用程序来调用 DLL —— 其中 Windows 设置管理器(fodhelper)旨在绕过用户账户控制(UAC),而 ODBC 驱动程序配置工具(odbcconf)则用于执行与配置 DLL 。

8.jpg

不过安全研究人员承认这只是一个可行的假设,当前他们尚不明确相关 DLL 的作用、也未搞清楚该恶意软件是如何利用 USB 驱动器实现传播的。

关键词: RaspberryRobin恶意软件 通过外部硬盘驱动器而感染Windows 不清楚恶意软件目的 修改注册表


精彩推送

关于我们 加入我们 广告服务 网站地图   

All Rights Reserved, Copyright 2004-2021 www.ctocio.com.cn

如有意见请与我们联系 邮箱:29 59 11 57 8@qq.com

 IT专家网 版权所有 

豫ICP备20005723号-1

营业执照公示信息