بدافزار Raspberry Robin نصب‌گر ویندوز را هدف قرار می‌دهد

19 اردیبهشت 1401 بدافزار Raspberry Robin نصب‌گر ویندوز را هدف قرار می‌دهد

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بدافزار کرم‌پذیری[1] موسوم به Raspberry Robin از سپتامبر گذشته فعال است و برای استفاده از نصب‌گر  Microsoft Standard و سایر پروسه‌های قانونی جهت نصب فایل‌های مخرب راه خود را از طریق درایوهای یو‌اس‌بی روی دستگاه‌های ویندوزی باز می‌کند. محققین مرکز Red Canary Intelligence ابتدا ماه پاییز بود که شروع کردند به ردیابی فعالیت مخرب؛ زمانی که با مشخصه‌های مشابه به کرات شناسایی می‌شد. اولین بار جیسون کیلام در تیم مهندسی شناسایی این مرکز آن را در محیط‌های مشتریان رصد کرد. با ما همراه بمانید تا شما را با عملکرد این بدافزار بیشتر آشنا کنیم.

به محض اینکه کرم از طریق درایو یو‌اس‌بی وارد دستگاه کسی می‌شود برای فراخواندن زیرساختش به msiexec.exe وابسته است –افزونه‌ای که اغلب از دستگاه‌های QNAP تشکیل شده است- و از درخواست‌های HTTP حاوی نام دستگاه و نام کاربری قربانی استفاده می‌کند. محققین همچنین مشاهده کرده‌اند که رزبری رابین از نودهای خروج TOR و زیرساخت فرمان و کنترل (C&C) نیز بعنوان فرمان افزوده استفاده می‌کند. در نهایت این کرم، فایل‌های DLL (آرشیو پویای لینک[2]) را که روی یو‌اس‌بی آلوده یافت شدند نصب می‌کند. گرچه محققین اوایل سپتامبر 2021 رزبری رابین را پیدا کردند اما بیشتر فعالیت‌های آن از ژانویه 2022 رصد شده است.

پرسش‌های پاسخ‌داده‌نشده

گرچه محققین فرآیندهای و اجراهای مختلفی از سوی این بدافزار مشاهده کرده‌اند اما اعتراف کرده‌اند که این مشاهدات هنوز خیلی از پرسش‌ها را نتوانستند پاسخ دهند. این تیم هنوز متوجه نشده است چطور Raspberry Robin برای تداوم فعالیت خود روی درایوهای خارجی اثر می‌گذارد؛ هرچند این احتمال وجود دارد که آلودگی آفلاین رخ داده باشد یا در غیر این صورت از دید محققین خارج بوده است! آن‌ها همچنین این را نیز نمی‌دانند که چرا رزبری رابین dll مخرب را نصب می‌کند، گرچه باور دارند شاید تلاشی بوده است برای ایجاد سیستم آلوده‌ی پایدار (البته هنوز شواهد کافی دال بر آن وجود ندارد). با این وجود، بزرگ‌ترین علامت سوال بر سر آن کرم این است که هدف عاملین تهدید چیست. آن‌ها می‌گویند، «اطلاعات بیشتری در خصوص فعالیت بعدی و احتمالی عاملین پشت پرده نداریم و از این رو سخت می‌توانیم هدف یا اهداف بعدی این کمپین را خنثی کنیم».

دسترسی اولیه و اجرا

درایوهای قابل جابجایی آلوده –معمولاً دستگاه‌های یو‌اس‌بی- کرم رزبری رابین را فایل LNK میانبر تحت پوشش فولدری قانونی روی دستگاه یو‌اس‌بی آلوده معرفی می‌کنند. فایل‌های LNK در حقیقت میانبرهای ویندوزی هستند که برای باز کردن فایل، فولدر یا اپ دیگری استفاده می‌شوند. خیلی زود بعد از اینکه دستگاه آلوده به سیستم وصل می‌شود، کرم ورودی رجیستری UserAssist را آپدیت کرده و اجرای یک مقدار رمزگذاری شده ROT13 را ثبت می‌کند؛ مقداری که به فایل LNK هنگام رمزگشایی ارجاع می‌دهد. به عنوان مثال، محققین مقدار q:\erpbirel.yax را در حال رمزگشایی به d:\recovery.lnk مشاهده کردند.

به نقل از محققین، اجرا زمانی شروع می‌شود که Raspberry Robin از cmd.exe برای خواندن و اجرای فایل ذخیره شده در درایو خارجی آلوده استفاده کند. آنها خاطرنشان کردند: «این فرمان در سراسر ردیابی‌های Raspberry Robin که تاکنون دیده‌ایم سازگار است، و آن را به شواهد اولیه قابل اعتمادی از فعالیت بالقوه [کرم] تبدیل می‌کند». در مرحله بعدی اجرا، cmd.exe معمولا explorer.exe و msiexec.exe را راه‌اندازی می‌کند. خط فرمان اولی می‌تواند یک مرجع مختلط به یک دستگاه خارجی باشد - نام یک شخص باشد مانند LAUREN V یا حتی نام فایل LNK. این کرم همچنین به طور گسترده‌ای از حروف مختلط در دستورات خود استفاده می‌کند که به احتمال زیاد از شناسایی جلوگیری می‌کند.

اجرای ثانویه

محققین فاش کردند که Raspberry Robin از دومین فایل اجرایی راه‌اندازی شده، msiexec.exe، برای برقراری ارتباط شبکه خارجی با دامنه مخرب برای اهداف فرمان و کنترل استفاده می‌کند. در چندین نمونه از فعالیتی که محققین مشاهده کرده‌اند، کرم از msiexec.exe برای نصب یک فایل DLL مخرب استفاده کرده هرچند همانطور که قبلاً ذکر شد، آنها هنوز مطمئن نیستند که هدف از DLL چیست. این کرم همچنین از msiexec.exe برای راه‌اندازی یک ابزار قانونی ویندوز، fodhelper.exe استفاده می‌کند، که به نوبه خود rundll32.exe را برای اجرای یک فرمان مخرب ایجاد می‌کند. فرآیندهای راه‌اندازی شده توسط fodhelper.exe با امتیازات مدیریتی بالا بدون نیاز به درخواست کنترل حساب کاربری اجرا می‌شوند. گفته می‌شود از آنجایی که این رفتار غیرعادی برای این ابزار است، از این فعالیت می‌توان برای تشخیص وجود Raspberry Robin در یک دستگاه آلوده استفاده کرد. فرمان rundll32.exe یکی دیگر از ابزارهای قانونی ویندوز را که  odbcconf.exe   است راه‌اندازی نموده و فرمان‌های اضافی را برای اجرا و پیکربندی فایل DLL مخرب بتازگی نصب‌شده ارسال می‌کند.

 

[1] Wormable malware

[2] dynamic link library

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    5,321,810 ریال10,643,620 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    1,772,810 ریال3,545,620 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    7,096,310 ریال14,192,620 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    5,320,120 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    5,320,120 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    7,094,620 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    12,776,400 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد