【安全资讯】Raspberry Robin恶意软件的隐秘战术：USB感染、漏洞利用与高级混淆技术揭秘

概要：

Raspberry Robin，又称Roshtyak，是一种高度先进的恶意下载器，自2021年被发现以来，以其使用感染USB驱动器和复杂技术而闻名，给研究人员和组织带来了重大挑战。Zscaler ThreatLabz最近发布的深入分析揭示了该恶意软件的多层执行、先进的混淆和反分析方法。

主要内容：

Raspberry Robin采用复杂的八层执行过程，每一层都有其独特的功能，如仿真检测、解压缩和反分析。第六层包含大部分反分析技术，并在这些方法失败时部署诱饵负载。Zscaler指出，Raspberry Robin的核心功能在执行一系列不同层后才会显现。

该恶意软件使用了多种反分析方法，包括检查调试工具、系统配置和沙箱环境，甚至修改进程环境块（PEB）字段以阻止检测。Raspberry Robin通过控制流扁平化、混合布尔算术（MBA）操作和自定义加密算法来增强其隐蔽性。每个混淆函数都包含一个加密数组表，用于解密字符串和映射变量。

此外，Raspberry Robin集成了TOR客户端，以加密与其指挥与控制（C2）服务器的通信。它通过洋葱域验证TOR连接，并使用自定义加密层来确保数据交换的安全性。该恶意软件利用CVE-2024-26229和CVE-2021-31969等漏洞进行本地权限提升，并通过动态解密和注入目标进程来实现。

Raspberry Robin还展示了通过RDP和SMB的自我传播能力，使用PsExec和PAExec等工具在网络中复制自身。其持久性通过修改注册表键、利用Windows Defender排除项和使用随机生成的文件名来实现。Zscaler的分析强调了Raspberry Robin在恶意软件设计上的重大进展，结合了混淆、规避和利用技术，确保其持久性和影响力。