欢迎进Allbet欧博官网,欧博官网是欧博集团的官方网站。Allbet欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

首页科技正文

telegram中文群组(www.tg888.vip)_基于USB的蠕虫恶意软件正瞄准Windows安装程序

admin2022-06-158新闻

telegram中文群组www.tg888.vip)是一个Telegram群组分享平台,飞机群组内容包括telegram群组索引、Telegram群组导航、新加坡telegram群组、telegram中文群组、telegram群组(其他)、Telegram 美国 群组、telegram群组爬虫、电报群 科学上网、小飞机 怎么 加 群、tg群等内容,为广大电报用户提供各种电报群组/电报频道/电报机器人导航服务。

,


研究人员发现,被称为Raspberry Robin的蠕虫恶意软件自去年9月以来就一直处于活跃状态,并正在通过USB驱动器“蠕动”到Windows机器上,进而可以使用Microsoft Standard Installer和其他合法流程来安装恶意文件。

Red Canary Intelligence的研究人员在秋季首次开始跟踪这一恶意活动。这一恶意活动最初是由Red Canary检测工程团队的Jason Killam在多个具有类似特征的客户环境中进行检测时首次发现的。

Red Canary的Lauren Podber和Stef Rand在周四发表的一篇博客文章中写道,蠕虫病毒一旦通过USB驱动器传播到使用者的机器中,该病毒就会依赖msiexec.exe调用使用者机器中的基础设施——该基础设施通常由QNAP设备组成——使用包含受害者用户和设备名称的HTTP请求。他们写道,研究人员还观察到Raspberry Robin使用TOR退出节点作为额外的命令和控制(C&C)基础设施。最终,蠕虫病毒会安装在受感染的USB上,并找到的恶意动态链接库(DLL)文件。研究人员还表示,虽然研究人员最早在2021年9月就首次注意到Raspberry Robin病毒,但研究人员观察到的其大部分活动发生在今年1月。 

未回答的问题

尽管研究人员通过观察发现了该恶意活动各种过程和执行,但他们也承认这些观察依然留下了一些悬而未决的问题。研究人员表示,该团队尚未弄清楚Raspberry Robin病毒如何或在哪里感染外部驱动器以使其活动永久化,尽管这种感染可能发生在离线状态或“在其他可见度之外”。

研究人员承认,他们也不知道为什么Raspberry Robin能够找到恶意动态链接库,尽管他们认为这可能是试图在受感染的系统上建立持久性,但是他们却没有足够的证据来得出结论。然而,研究人员表示,围绕蠕虫的最大问号是其背后的威胁行为者的目标。他们承认:由于缺乏关于后期活动的额外信息,研究团队很难对这些活动的目标或目的做出推断。 

初始访问和执行

研究人员表示,受感染的可移动驱动器——通常是USB设备——感染了Raspberry Robin蠕虫病毒快捷LNK文件伪装成受感染的USB设备上的合法文件夹。LNK文件是指向并用于打开另一个文件、文件夹或应用程序的Windows快捷方式。

受感染的驱动器连接到系统后不久,蠕虫会更新UserAssist注册表条目,并在破译时记录引用LNK文件的ROT13加密值进行执行。例如,研究人员写道,他们观察到q:\erpbirel.yax值被破译为d:\recovery.lnk。研究人员表示,当Raspberry Robin使用cmd.exe读取和执行存储在受感染的外部驱动器上的文件时,执行就开始了。他们指出:到目前为止,该命令在我们看到的Raspberry Robin检测中是一致的,使其成为潜在[蠕虫]活动的可靠早期证据。

在下一阶段执行中,cmd.exe通常会启动explore.exe和msiexec.exe。研究人员表示,前者的命令行可以是外部设备的混合大小写引用——一个人的名字,如LAUREN V;也可以是LNK文件的名称。研究人员还补充说,蠕虫在其命令中也广泛使用混合大小写字母,这种做法最有可能避免他们被发现。

次要执行

研究人员透露,Raspberry Robin推出的第二款可执行文件msiexec.exe,试图将外部网络通信到恶意域,用于达到命令和控制的目的。在研究人员观察到的几个活动示例中,蠕虫使用msiexec.exe安装了恶意DLL文件,尽管如前所述,他们仍然不确定DLL的目的是什么。他们还观察到,蠕虫使用msiexec.exe启动合法的Windows实用程序fodhelper.exe,这反过来又催生rundll32.exe来执行恶意命令。

研究人员指出:fodhelper.exe启动的流程具有更高的管理权限,而无需用户帐户控制提示。他们说,由于这对公用事业来说是一种不寻常且极具危险的行为,这项活动可用于检测受感染机器上是否存在Raspberry Robin。研究人员表示,rundll32.exe命令然后启动另一个合法的Windows实用程序-odbcconf.exe,并传递其他命令来执行和配置最近安装的恶意DLL文件。

本文来源于:https://threatpost.com/u *** -malware-targets-windows-installer/179521/

网友评论

最新评论

  • 皇冠新现金网 08/26 说:

    欧博亚洲注册www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

    人有多少啊

  • 皇冠新现金网 08/26 说:

    欧博亚洲注册www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

    人有多少啊

  • 皇冠下载 08/26 说:

    “科比让我的职业生涯更上一层楼”都给我看这篇!

  • 皇冠APP 08/26 说:

    FiLeCoin合租矿机www.ipfs8.vip)是Filecoin致力服务于使用Filecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecion(FIL)行情、当前FiLecion(FIL)矿池、FiLecion(FIL)收益数据、各类FiLecion(FIL)矿机出售信息。并开放FiLecion(FIL)交易所、IPFS云矿机、IPFS矿机出售、IPFS矿机合租、IPFS算力合租、IPFS招商等业务。

    可以多写点吗

  • 皇冠app怎么下载 08/26 说:

    USDT场外交易网www.Uotc.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U担保开放usdt otc API接口、支付回调等接口。

    我真的服

  • 新2会员手机管理端 08/26 说:

    欧博亚洲客户端www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

    来了来了我来了

  • 皇冠注册平台 08/26 说:

    FiLeCoin行情www.ipfs8.vip)是Filecoin致力服务于使用Filecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecion(FIL)行情、当前FiLecion(FIL)矿池、FiLecion(FIL)收益数据、各类FiLecion(FIL)矿机出售信息。并开放FiLecion(FIL)交易所、IPFS云矿机、IPFS矿机出售、IPFS矿机合租、IPFS算力合租、IPFS招商等业务。

    看得过瘾

  • 新2代理网址 08/26 说:

    USDT交易所www.Uotc.vip),全球頂尖的USDT場外擔保交易平臺。

    好看,特别精致的文