Raspberry Robin 恶意软件现在正尝试通过投放虚假负载来迷惑研究人员并在检测到它正在沙箱和调试工具中运行时逃避检测。
这种新策略是由趋势科技研究人员发现的,他们在最近针对电信服务提供商和政府系统的攻击中观察了 Raspberry Robin。
Raspberry Robin 是一种类似蠕虫的恶意软件植入程序,可将受感染网络的初始访问权出售给勒索软件团伙和恶意软件运营商。它之前曾与 FIN11 和 Clop帮派以及 Bumblebee、IcedID 和 TrueBot 有效负载分发相关联。
恶意软件通过恶意 USB 驱动器到达目标系统,当插入并双击包含的 .LNK 文件时,恶意 USB 驱动器会感染设备。
执行快捷方式时,它会滥用合法的“MSIExec.exe”Windows 可执行文件来下载安装 Raspberry Robin 有效负载的恶意 MSI 安装程序
双重麻烦
该恶意软件被严重混淆以向防病毒程序和安全研究人员隐藏其代码,具有包含用于解密下一个的硬编码值的多层。
然而,为了让安全研究人员更难分析恶意软件,Raspberry Robin 已开始投放两种不同的有效载荷,具体取决于它在设备上的运行方式。
如果恶意软件检测到它在沙箱内运行,表明它可能正在被分析,则加载程序会投放一个虚假的有效负载。否则,它将启动实际的 Raspberry Robin 恶意软件。
这个伪造的 payload 有两个额外的层,一个带有嵌入式 PE 文件的 shellcode 和一个删除了 MZ 标头和 PE 签名的 PE 文件。
执行后,它会尝试读取 Windows 注册表以查找感染标记,然后继续收集基本系统信息。
接下来,伪造的有效载荷会尝试下载并执行名为“BrowserAssistant”的广告软件,以诱使分析师相信这是最终的有效载荷。
不过,在有效系统上,会加载实际的 Raspberry Robin 恶意软件负载,它具有用于内部通信的嵌入式自定义 Tor 客户端。
即使使用有效载荷欺骗,实际有效载荷也包含十层混淆,使其更难分析。
启动后,它会检查用户是否是管理员,如果不是,它会使用“ UACMe 中的 ucmDccwCOMMethod ”权限升级技术来获得管理权限。
该恶意软件还修改了注册表以在重新启动之间保持持久性,针对每种情况(管理员或非管理员)使用两种不同的方法。
的
“在删除自己的副本后,它会使用 UAC(用户帐户控制)旁路技术以管理员身份执行删除的副本,”趋势科技解释了权限升级过程。
“它在 UACMe 中实现了 ucmDccwCOMMethod 技术的变体,从而滥用了内置的 Windows AutoElevate 后门。”
一旦准备就绪,恶意软件就会尝试连接到硬编码的 Tor 地址,并与其运营商建立信息交换通道。
Tor 客户端进程使用模仿标准 Windows 系统文件的名称,例如“dllhost.exe”、“regsvr32.exe”和“rundll32.exe”。
值得注意的是,主例程在会话 0 中运行,会话 0 是专门为不需要或不应有任何用户交互的服务和应用程序保留的专用 Windows 会话。
作为其感染过程的一部分,Raspberry Robin 还将自身复制到任何连接的 USB 驱动器以感染更多系统。
LockBit 勒索软件有相似之处
Trend Micro 的分析师评论说,Raspberry Robin 的 TTP(策略、技术和程序)中最近添加的内容与 LockBit 有相似之处,因此这两个项目可能有联系。
两个主要的相似之处是使用 ICM 校准技术进行权限升级和使用“TreadHideFromDebugger”工具进行反调试。
尽管这些发现值得注意,但它们并不能证明两者之间存在联系,但它们可以作为未来研究的准绳。
总而言之,趋势科技表示,当前的树莓罗宾攻击活动更多的是评估新机制有效性的侦察工作,而不是实际攻击的初始步骤。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Raspberry Robin 蠕虫投放虚假恶意软件以迷惑研究人员
