【安全资讯】Raspberry Robin恶意软件的隐秘战术:USB感染、漏洞利用与高级混淆技术揭秘

安恒恒脑 2024-11-22 19:05:00 90人浏览

概要:

Raspberry Robin,又称Roshtyak,是一种高度先进的恶意下载器,自2021年被发现以来,以其使用感染USB驱动器和复杂技术而闻名,给研究人员和组织带来了重大挑战。Zscaler ThreatLabz最近发布的深入分析揭示了该恶意软件的多层执行、先进的混淆和反分析方法。

主要内容:

Raspberry Robin采用复杂的八层执行过程,每一层都有其独特的功能,如仿真检测、解压缩和反分析。第六层包含大部分反分析技术,并在这些方法失败时部署诱饵负载。Zscaler指出,Raspberry Robin的核心功能在执行一系列不同层后才会显现。

该恶意软件使用了多种反分析方法,包括检查调试工具、系统配置和沙箱环境,甚至修改进程环境块(PEB)字段以阻止检测。Raspberry Robin通过控制流扁平化、混合布尔算术(MBA)操作和自定义加密算法来增强其隐蔽性。每个混淆函数都包含一个加密数组表,用于解密字符串和映射变量。

此外,Raspberry Robin集成了TOR客户端,以加密与其指挥与控制(C2)服务器的通信。它通过洋葱域验证TOR连接,并使用自定义加密层来确保数据交换的安全性。该恶意软件利用CVE-2024-26229和CVE-2021-31969等漏洞进行本地权限提升,并通过动态解密和注入目标进程来实现。

Raspberry Robin还展示了通过RDP和SMB的自我传播能力,使用PsExec和PAExec等工具在网络中复制自身。其持久性通过修改注册表键、利用Windows Defender排除项和使用随机生成的文件名来实现。Zscaler的分析强调了Raspberry Robin在恶意软件设计上的重大进展,结合了混淆、规避和利用技术,确保其持久性和影响力。
恶意代码 漏洞利用 科技公司 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。