1. 事件概述
2. 攻击技术特点分析
通过USB设备传播:Raspberry Robin利用USB设备作为其主要的初始感染媒介,通过放置具有诱惑性的文件或图标,诱使用户执行它们。恶意软件利用操作系统的自动播放功能,通过修改USB设备的固件或创建恶意的autorun.inf文件,实现自动执行。一旦Raspberry Robin在主机上建立据点,它会寻找连接到同一网络的其他设备,并尝试通过RDP或SMB协议进行传播,迅速在内网中扩散。
多层执行与反分析:Raspberry Robin通过一系列复杂的执行层来隐藏其核心功能,每一层都有特定的任务,如解密下一层或执行反分析技术。例如,第一层使用段寄存器GS/CS进行代码模拟检测,并(XOR)解密下一层。第二层是解压缩(使用修改后的aPLib算法)并执行下一层。第三层通过测量CPU性能来验证是否身处分析或沙箱环境中,确定是否执行,并使用RC4算法解密下一层。第四层解密(通过XOR)并执行下一层。第五层解压缩(使用修改后的aPLib算法)并执行下一层。第六层则运行了一系列反分析技术,并在检测到非分析环境时执行诱饵有效载荷。否则,它将使用Rabbit流密码解密下一层。第七层主要是解密(使用XOR)并执行下一层。第八层是解压缩(使用修改后的aPLib算法)并执行核心层。
图 1 Raspberry Robin 多层架构示意图
混淆技术:Raspberry Robin广泛使用了控制流平坦化、混合布尔算术(MBA)操作和自定义加密算法。每个混淆的函数都包含一个加密的数组表,用于解密字符串和映射变量。
核心层功能:核心层的功能包括同步和代码执行行为、逃避和反分析、隐蔽的注册表修改、持久性、网络传播、本地权限提升和网络通信。
网络通信与C2服务器:Raspberry Robin通过建立与C2服务器的通信来接收进一步的指令。通过USB设备传播后,恶意软件会利用TOR网络进行通信,以增加其匿名性和抗检测能力。这种通信机制使得攻击者能够远程控制受感染的设备,并部署额外的有效载荷。
3. 总结
Raspberry Robin的分析揭示了网络攻击者在恶意软件领域的技术进步。这种恶意软件通过利用USB设备、操作系统特性和网络通信,能够有效地在目标环境中建立持久性,并为进一步的网络攻击奠定基础。Raspberry Robin的复杂性和隐蔽性对全球网络安全构成了重大威胁,全球组织必须加强其网络安全措施,以抵御这类日益复杂的威胁。