基于USB的蠕虫恶意软件瞄准Windows安装程序其他安装恶意文件的合法进程。RedCanaryIntelligence的研究人员在秋季首次开始跟踪这种恶意活动。该恶意活动最初是由RedCanary检测工程团队的JasonKillam在对多个具有相似特征的客户环境进行检测时发现的。RedCanary的LaurenPodber和StefRand在周四发表的一篇博文中写道,一旦蠕虫通过USB驱动器传播到用户的机器上,病毒就会依赖msiexec.exe调用基本设施——通常由QNAP设备组成——使用包含受害者用户和设备名称的HTTP请求。他们写道,研究人员还观察到RaspberryRobin使用TOR出口节点作为额外的命令和控制(C&C)基础设施。最终,蠕虫安装在受感染的USB上并找到恶意动态链接库(DLL)文件。研究人员还表示,虽然树莓知更鸟病毒早在2021年9月就被研究人员首次发现,但研究人员观察到的大部分活动发生在今年1月。悬而未决的问题尽管研究人员观察了活动的各个过程和执行情况,但他们承认这些观察留下了一些悬而未决的问题。研究人员表示,该团队尚未弄清楚RaspberryRobin病毒如何或在何处感染外部驱动器以维持其活动,尽管感染可能发生在离线或“其他可见级别之外”。研究人员承认,他们也不知道为什么RaspberryRobin能够找到恶意动态链接库,虽然他们认为这可能是试图在受感染的系统上建立持久性,但他们没有足够的证据得出结论。结论。然而,研究人员表示,围绕该蠕虫病毒的最大问号是它背后的威胁行为者的目标。他们承认,由于缺乏关于后来事件的额外信息,研究团队很难对这些事件的目标或目的做出推断。初始访问和执行研究人员表示,受感染的可移动驱动器(通常是USB设备)感染了RaspberryRobin蠕虫快捷方式LNK文件,这些文件伪装成受感染USB设备上的合法文件夹。LNK文件是Windows快捷方式,它指向并用于打开另一个文件、文件夹或应用程序。在受感染的驱动器连接到系统后不久,蠕虫更新UserAssist注册表项并记录引用LNK文件的ROT13加密值,以便在破译时执行。例如,研究人员写道,他们观察到q:\erpbirel.yax值被解密为d:\recovery.lnk。研究人员说,当RaspberryRobin使用cmd.exe读取和执行存储在受感染外部驱动器上的文件时,执行就开始了。“这个命令在我们迄今为止看到的RaspberryRobin检测中是一致的,使其成为潜在[蠕虫]活动的可靠早期证据,”他们指出。在下一阶段的执行中,cmd.exe通常会启动explore.exe和msiexec.exe。研究人员说,前者的命令行可能是对外部设备的混合大小写引用——一个人的名字,例如LAURENV——或一个LNK文件的名称。研究人员还补充说,蠕虫还在它们的命令中广泛使用混合大小写字母,这种做法很可能避免它们被发现。二级执行研究人员透露,由RaspberryRobin启动的第二个可执行文件msiexec.exe试图将外部网络通信与恶意域进行通信,以实现命令和控制目的。在研究人员观察到的几个活动实例中,蠕虫使用msiexec.exe安装恶意DLL文件,尽管如前所述,他们仍然不确定DLL的用途是什么。他们还观察到该蠕虫使用msiexec.exe来启动合法的Windows实用程序fodhelper.exe,而fodhelper.exe又会生成rundll32.exe来执行恶意命令。研究人员指出:fodhelper.exe在没有用户帐户控制提示的情况下以提升的管理权限启动进程。他们说,由于这对公用事业来说是一种不寻常且高度危险的行为,因此该活动可用于检测受感染机器上是否存在RaspberryRobin。研究人员表示,rundll32.exe命令随后会启动另一个合法的Windows实用程序——odbcconf.exe——并向其传递其他命令来执行和配置最近安装的恶意DLL文件。本文来自:https://threatpost.com/usb-malware-targets-windows-installer/179521/如有转载请注明出处。
