Новости Raspberry Robin: восемь слоёв обфускации для обхода киберзащиты

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Специалисты Zscaler организовали погружение в лабиринт из шифров и ложных следов.


07sli18fcy8u6wux7l0m835ob60mfgdm.jpg


Raspberry Robin — это сложный вредоносный загрузчик, впервые выявленный в 2021 году и распространяющийся преимущественно через заражённые USB-устройства. Его уникальность, Для просмотра ссылки Войди или Зарегистрируйся Zscaler, заключается в многоуровневой структуре исполнения, обфускации кода и обширных методах противодействия анализу. Злоумышленники активно используют этот инструмент для внедрения других вредоносных программ, включая Bumblebee .

Отличительной особенностью Raspberry Robin является применение TOR для связи с C2-серверами. Он также задействует низкоуровневые функции Windows для обхода систем безопасности. Его функционал распространяется от выявления исследовательской среды до развёртывания ложных загрузчиков для введения в заблуждение специалистов по кибербезопасности.

Многоуровневая структура исполнения включает восемь этапов, на каждом из которых выполняются декодирование, проверка на наличие анализа и постепенное раскрытие основного функционала. Злоумышленники применяют такие методы, как обфускация потоков управления и шифрование данных, что существенно усложняет анализ.

Для обеспечения устойчивости Raspberry Robin вносит изменения в реестр Windows и использует методы обхода контроля учётных записей пользователей (UAC). Он также может распространяться по локальной сети, используя инструменты вроде PsExec и PAExec, что делает его угрозой для корпоративных систем.

Интересной деталью является способность к автоматической защите от обнаружения. Например, Raspberry Robin замещает адреса возврата в стеке и использует сложные алгоритмы для обнаружения виртуализированных сред и отладки.

Сетевая коммуникация осуществляется через TOR, где вредонос отправляет зашифрованные данные, включая IP-адрес, параметры системы и активные процессы. Ответ от сервера может содержать дополнительный вредоносный код, который загружается и выполняется.

Raspberry Robin демонстрирует высокий уровень профессионализма своих разработчиков. Это делает его одной из самых сложных угроз, активно используемых злоумышленниками для атак на корпоративные сети.
 
Источник новости
www.securitylab.ru

Похожие темы