某恶意软件通过外部驱动器传播

admin 2022年5月8日13:53:50安全新闻评论3 views593字阅读1分58秒阅读模式

网络安全研究员发现一款具有网络蠕虫功能的Windows恶意软件,此恶意软件可以通过USB设备进行传播。

某恶意软件通过外部驱动器传播

研究员将此恶意软件归到名为“Raspberry Robln”的集群,并指出该蠕虫利用Windows installer访问与QNAP相关的域并下载恶意DLL。


某恶意软件通过外部驱动器传播

最早存在于2021年9月,在相关组织中观察到感染的现象,与集群相关的攻击链将从受感染的USB驱动器连接到Windows计算机开始。设备中存在蠕虫有效载荷,它显示为合法文件夹的LNK快捷键方式文件。

某恶意软件通过外部驱动器传播

该蠕虫会生成新进程cmd.exe,用来读取和执行存储在外部驱动器上的恶意文件。之后又启动exeplorer.exe和msiexec.exe,msiexec.exe用于与恶意域名进行外部网络通信,实现命令和控制目的,以及下载和安装DLL库文件。之后,恶意DLL会使用Windows程序加载和执行,从而有效地绕过用户账户控制(UAC)。

某恶意软件通过外部驱动器传播

在集群中还检测出rundll32.exe和dllhost.exe进程与C2联系。截至目前为止,还不清楚外部驱动器是如何感染的。



中泊研安全技术团队通过“人+流程+数据+平台”,构建可持续安全监测和响应能力,为客户提供全方位的安全运营服务解决方案。

邮箱:[email protected]

网址:http://www.zbysec.com

原文始发于微信公众号(中泊研安全应急响应中心):某恶意软件通过外部驱动器传播

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月8日13:53:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  某恶意软件通过外部驱动器传播 http://cn-sec.com/archives/983889.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: