网络安全研究员发现一款具有网络蠕虫功能的Windows恶意软件,此恶意软件可以通过USB设备进行传播。
研究员将此恶意软件归到名为“Raspberry Robln”的集群,并指出该蠕虫利用Windows installer访问与QNAP相关的域并下载恶意DLL。
最早存在于2021年9月,在相关组织中观察到感染的现象,与集群相关的攻击链将从受感染的USB驱动器连接到Windows计算机开始。设备中存在蠕虫有效载荷,它显示为合法文件夹的LNK快捷键方式文件。
该蠕虫会生成新进程cmd.exe,用来读取和执行存储在外部驱动器上的恶意文件。之后又启动exeplorer.exe和msiexec.exe,msiexec.exe用于与恶意域名进行外部网络通信,实现命令和控制目的,以及下载和安装DLL库文件。之后,恶意DLL会使用Windows程序加载和执行,从而有效地绕过用户账户控制(UAC)。
在集群中还检测出rundll32.exe和dllhost.exe进程与C2联系。截至目前为止,还不清楚外部驱动器是如何感染的。
中泊研安全技术团队通过“人+流程+数据+平台”,构建可持续安全监测和响应能力,为客户提供全方位的安全运营服务解决方案。
网址:http://www.zbysec.com
原文始发于微信公众号(中泊研安全应急响应中心):某恶意软件通过外部驱动器传播
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论