研究人員發(fā)現(xiàn)，被稱為Raspberry Robin的蠕蟲惡意軟件自去年9月以來就一直處于活躍狀態(tài)，并正在通過USB驅(qū)動器“蠕動”到Windows機(jī)器上，進(jìn)而可以使用Microsoft Standard Installer和其他合法流程來安裝惡意文件。

Red Canary Intelligence的研究人員在秋季首次開始跟蹤這一惡意活動。這一惡意活動最初是由Red Canary檢測工程團(tuán)隊(duì)的Jason Killam在多個具有類似特征的客戶環(huán)境中進(jìn)行檢測時首次發(fā)現(xiàn)的。

Red Canary的Lauren Podber和Stef Rand在周四發(fā)表的一篇博客文章中寫道，蠕蟲病毒一旦通過USB驅(qū)動器傳播到使用者的機(jī)器中，該病毒就會依賴msiexec.exe調(diào)用使用者機(jī)器中的基礎(chǔ)設(shè)施——該基礎(chǔ)設(shè)施通常由QNAP設(shè)備組成——使用包含受害者用戶和設(shè)備名稱的HTTP請求。他們寫道，研究人員還觀察到Raspberry Robin使用TOR退出節(jié)點(diǎn)作為額外的命令和控制（C&C）基礎(chǔ)設(shè)施。最終，蠕蟲病毒會安裝在受感染的USB上，并找到的惡意動態(tài)鏈接庫（DLL）文件。研究人員還表示，雖然研究人員最早在2021年9月就首次注意到Raspberry Robin病毒，但研究人員觀察到的其大部分活動發(fā)生在今年1月。 

未回答的問題

盡管研究人員通過觀察發(fā)現(xiàn)了該惡意活動各種過程和執(zhí)行，但他們也承認(rèn)這些觀察依然留下了一些懸而未決的問題。研究人員表示，該團(tuán)隊(duì)尚未弄清楚Raspberry Robin病毒如何或在哪里感染外部驅(qū)動器以使其活動永久化，盡管這種感染可能發(fā)生在離線狀態(tài)或“在其他可見度之外”。

研究人員承認(rèn)，他們也不知道為什么Raspberry Robin能夠找到惡意動態(tài)鏈接庫，盡管他們認(rèn)為這可能是試圖在受感染的系統(tǒng)上建立持久性，但是他們卻沒有足夠的證據(jù)來得出結(jié)論。然而，研究人員表示，圍繞蠕蟲的最大問號是其背后的威脅行為者的目標(biāo)。他們承認(rèn)：由于缺乏關(guān)于后期活動的額外信息，研究團(tuán)隊(duì)很難對這些活動的目標(biāo)或目的做出推斷。 

初始訪問和執(zhí)行

研究人員表示，受感染的可移動驅(qū)動器——通常是USB設(shè)備——感染了Raspberry Robin蠕蟲病毒快捷LNK文件偽裝成受感染的USB設(shè)備上的合法文件夾。LNK文件是指向并用于打開另一個文件、文件夾或應(yīng)用程序的Windows快捷方式。

受感染的驅(qū)動器連接到系統(tǒng)后不久，蠕蟲會更新UserAssist注冊表?xiàng)l目，并在破譯時記錄引用LNK文件的ROT13加密值進(jìn)行執(zhí)行。例如，研究人員寫道，他們觀察到q:\erpbirel.yax值被破譯為d:\recovery.lnk。研究人員表示，當(dāng)Raspberry Robin使用cmd.exe讀取和執(zhí)行存儲在受感染的外部驅(qū)動器上的文件時，執(zhí)行就開始了。他們指出：到目前為止，該命令在我們看到的Raspberry Robin檢測中是一致的，使其成為潛在[蠕蟲]活動的可靠早期證據(jù)。

在下一階段執(zhí)行中，cmd.exe通常會啟動explore.exe和msiexec.exe。研究人員表示，前者的命令行可以是外部設(shè)備的混合大小寫引用——一個人的名字，如LAUREN V；也可以是LNK文件的名稱。研究人員還補(bǔ)充說，蠕蟲在其命令中也廣泛使用混合大小寫字母，這種做法最有可能避免他們被發(fā)現(xiàn)。

次要執(zhí)行

研究人員透露，Raspberry Robin推出的第二款可執(zhí)行文件msiexec.exe，試圖將外部網(wǎng)絡(luò)通信到惡意域，用于達(dá)到命令和控制的目的。在研究人員觀察到的幾個活動示例中，蠕蟲使用msiexec.exe安裝了惡意DLL文件，盡管如前所述，他們?nèi)匀徊淮_定DLL的目的是什么。他們還觀察到，蠕蟲使用msiexec.exe啟動合法的Windows實(shí)用程序fodhelper.exe，這反過來又催生rundll32.exe來執(zhí)行惡意命令。

研究人員指出：fodhelper.exe啟動的流程具有更高的管理權(quán)限，而無需用戶帳戶控制提示。他們說，由于這對公用事業(yè)來說是一種不尋常且極具危險的行為，這項(xiàng)活動可用于檢測受感染機(jī)器上是否存在Raspberry Robin。研究人員表示，rundll32.exe命令然后啟動另一個合法的Windows實(shí)用程序-odbcconf.exe，并傳遞其他命令來執(zhí)行和配置最近安裝的惡意DLL文件。

本文來源于：https://threatpost.com/usb-malware-targets-windows-installer/179521/如若轉(zhuǎn)載，請注明原文地址。