缘北资源快报-相亲交友-缘分相亲网
当前位置:首页 > 网络技术 > 网络安全

网络安全

研究人员警告:“Raspberry Robin”或正通过外部驱动传播

时间:2022-05-08   作者:Admin缘北工作室   来源:缘北资源快报kuaibao.52ybkj.com   阅读:590   评论:0
内容摘要:近日,网络安全研究人员发现了一种新型Windows恶意软件,其具有类似蠕虫的功能,而且通过可移动USB设备进行传播。安全机构RedCanary的研究人员将该恶意软件归于名为“RaspberryRobin”(树莓知更鸟)的集群,并指出它“利用WindowsInstaller访问与QNAP相关的域并下载恶意DLL。”据研究...

研究人员警告:“Raspberry_Robin”或正通过外部驱动传播

近日,网络安全研究人员发现了一种新型Windows恶意软件,其具有类似蠕虫的功能,而且通过可移动USB设备进行传播。

安全机构Red Canary的研究人员将该恶意软件归于名为“Raspberry Robin”(树莓知更鸟)的集群,并指出它“利用 Windows Installer 访问与QNAP相关的域并下载恶意DLL。”

据研究人员透露,发现这个恶意软件的活动迹象最早可以追溯到2021年9月,当时是在与技术和制造业有关的组织机构中观察到有感染现象。

与Raspberry Robin相关的攻击链是从将受感染的USB驱动器连接到Windows机器开始的,在设备中出现的是蠕虫有效载荷,它以.lnk快捷方式文件的形式出现在合法文件夹中。然后,蠕虫会使用cmd.exe生成一个新的进程来读取和执行存储在部驱动器上的恶意文件。紧接着会启动explorer.exe和msiexc.exe,后者用于外部网络通信到流氓域,以实现命令和控制(C2)的目的,并下载和安装DLL库文件。最后,恶意DLL被使用一系列合法的Windows实用程序加载和执行,如fodhelper.exe、rundll32.exe到rundll32.exe和odbcconf.exe,从而有效地绕过用户帐户控制(UAC)。

值得一提的是,在Raspberry Robin检测中,outbound C2关联非常常见,通常涉及到与Tor节点关联的IP地址进程regsvr32.exe、rundll32.exe和dllhost.exe。

时至今日,研究人员尚不清楚攻击者的动机是什么。另外,研究人员也在努力弄清外部硬盘是如何以及在哪里被感染的,但就目前的推测而言,离线感染的可能性比较大。

对此,研究人员表示:“我们也不知道为什么Raspberry Robin会安装恶意DLL。我们提出了一种假设:它可能试图在受感染的系统上长期存在下去。”

责任编辑:未丽燕来源: FreeBuf.com

 #免责声明#

【声明】:缘北网(https://kuaibao.52ybkj.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱1665545192@qq.com,我们会在最短的时间内进行处理。

本站软件,文章全部来源,互联网的搬运收集,

若有问题请联系删除附上链接    发往手机短信  手机号码:15062997403  邮箱:1665545192@qq.com  微信:sinian990202  QQ;97576821 

温馨提示本站软件源码收集发布提供参考学习不得用于商业,否则后果自负!由自己承当法律责任与本站无关!

企业客服QQ:97576821

 缘北科技 


标签:通过  人员  研究  传播  驱动  

相关文章

相关评论

本栏最新更新

本栏推荐

阅读排行