Raspberry Robin, opasnost unutar USB medija

AUTOR ·

Raspberry Robin zlonamjerni softver predstavlja opasnost unutar USB medija za korisnike, a zlonamjerni akteri ga aktivno koriste za preuzimanje i instaliranje skrivenog zlonamjernog softvera na Windows sistemima.

Raspberry Robin

Raspberry Robin, opasnost unutar USB medija; Source: Bing Image Creator

Zlonamjerni softver nastavlja da muči poslovne organizacije i pojedince, a jedan od podmuklijih sojeva u posljednje vreme je zlonamjerni softver Raspberry Robin. Nedavno je primijećen porast distribucije ovog zlonamjernog softvera koji posjeduje jedinstven skup mogućnosti i zabrinjavajući nivo otpornosti koji ga izdvaja od mnogih drugih prijetnji. Korisnici i poslovne organizacije kojima je stalo da zaštite lične podatke ili poslovanje od razornih sajber napada, ključno je da razumiju  prirodu zlonamjernog softvera Raspberry Robin.

 

RASPBERRY ROBIN

Raspberry Robin je zlonamjerni softver – računarski crv, koji je sigurnosna kompanija Red Canary prvi put identifikovala 2021. godine. Širi se prvenstveno preko prenosivih uređaja za skladištenje podataka kao što su USB mediji da bi uspostavio uporište na zaraženim sistemima i olakšao primjenu dodatnih korisnih tovara (eng. payloads). Ovaj zlonamjerni softver se povezuje sa zlonamjernim akterima kao što su EvilCorp, FIN11, TA505 i Clop ransomware zlonamjernim akterom i drugom operacijama zlonamjernog softvera ali njegovi autori i programeri koji ga održavaju ostaju nepoznati.

Značajna promjena u nedavnim kampanjama je upotreba Discord platforme za isporuku zlonamjernih arhivskih datoteka na cilj, vjerovatno nakon slanja linkova do cilja elektronskom poštom. Arhive sadrže digitalno potpisanu izvršnu datoteku OleView.exe i zlonamjernu DLL datoteku aclui.dll koja se bočno učitava kada žrtva pokrene izvršnu datoteku, čime se aktivira Raspberry Robin u sistemu.

 

FUNKCIONISANJE

U prošlosti, Raspberry Robin zlonamjerni softver je imao nekoliko vektora napada preko kojih je inficirao korisničke uređaje, a to je najčešće radio preko LNK datoteke prerušene u USB medij ili mrežno dijeljenje. U trenutnoj kampanji, tok napada započinje koje se preuzimaju sa Discord platforme kao prilog. Arhiva sadrži legitimnu Microsoft digitalno potpisanu izvršnu datoteku OleView.exe i zlonamjernu DLL datoteku aclui.dll koja je potpisana, ali potpis nije važeći.

OleView.exe datoteka se se koristi za učitavanje zlonamjerne DLL datoteke, koja je upakovani Raspberry Robin uzorak koji poziva iz glavne funkcije. Napadači obično koriste Oleview.exe izvršnu datoteku kao metu za bočno učitavanje, prvenstveno zato što obično ne postoji na disku sama po sebi i zahteva DLL datoteku da bi funkcionisala. Zbog toga nije neobično kada se Oleview.exe izvršna datoteka pronađe pored DLL datoteke u nasumičnom direktorijumu izvršeni zajedno. Pored toga, pošto su DLL datoteke potpisane od strane kompanije Microsoft, njima se podrazumijevano vjeruje u nekim bezbjednosnim rješenjima.

 

MEHANIZMI ZLOUPOTREBE

Zlonamjerni softver Raspberry Robin ima više načina za eskalaciju svojih privilegija. Jedan od načina je zloupotreba LPE jezgra. Zlonamjerni softver čuva mehanizme zloupotrebe šifrovane pomoću RC4 ključa i ovi mehanizmi se koriste samo ako je uređaj žrtve ranjiv na njih. Ovo znači da će zlonamjerni softver Raspberry Robin pokušati da iskoristi mehanizam infekcije samo na određenim verzijama Windows operativnog sistema i njegovim izvršnim verzijama (eng. build numbers).

U novim uzorcima, zlonamjerni softver ubrizgava eksploataciju jezgra u cleanmgr.exe datoteku (ranije je to bila winver.exe datoteka) koristeći metod ubrizgavanja KernelCallbackTable (korišćen i u prethodnim uzorcima). Raspberry Robin zlonamjerni softver ubacuje jedinstveni program za učitavanje koji se nalazi u memoriji i učitava eksterni PE koji je zloupotreba. U trenutnoj verziji je došlo do promjene mehanizma za zloupotrebu u odnosu na prethodne iskorištavanjem CVE-2023-36802 ranjivost.

 

CVE-2023-36802 ranjivost

CVE-2023-36802 je ranjivost tipske konfuzije u Microsoft Streaming Service Proxy servisu koji omogućava lokalnom napadaču da eskalira privilegije. Ranjivost je otkrivena još 12. septembra 2023. godine i proglašena je da je neko vreme bila aktivno eksploatisana prije nego što je korišćena kao ranjivost nultog dana, ali nisu date informacije o grupi koja ju je koristila. Otkriveno je da je eksploatacija za CVE-2023-36802 prodata na forumima na Mračnom internetu u februaru 2023. godine.

 

Ranije ranjivosti

Raniji uzorci zlonamjernog softvera Raspberry Robin su koristili ranjivost CVE-2023-29360 koja je javno objavljena u junu 2023. godine, a Raspberry Robin zlonamjerni softver je počeo iskorištavati u avgustu 2023. godine. Ono što je zanimljivo za iskorištavanje ove ranjivost je to da je pisac eksploatacije imao radni uzorak pre nego što je postojao poznati na GitHub platformi kao i koliko brzo ga je Raspberry Robin počeo koristiti.

Iskorištavanje ove ranjivosti ima isti program za učitavanje i istu šemu zamagljivanja za stringove kao i kod CVE-2023-36802 ranjivosti. Zanimljivo je da se ova ranjivost takođe koristi isti upravljački program (eng. driver) što znači da pisac eksploatacije radi na toj funkcionalnosti.

Tokom 2022. godine, Raspberry Robin zlonamjerni softver je koristio ranjivost CVE-2021-1732 godinu dana nakon objave, dok je za CVE-2023-36802 bilo potrebno dva mjeseca. Zlonamjerni akteri koji stoje iza ovog zlonamjernog softvera skraćuju vrijeme potrebno za zloupotrebu ranjivosti za eskalaciju privilegija, što im pomaže da duže vremena koriste ranjivost, pošto je činjenica da korisnici ne ažuriraju Windows operativni sistem često.

 

PROMJENE

Funkcionisanje Raspberry Robin zlonamjernog softvera je manje više nepromijenjeno. On i dalje funkcioniše u više faza koje su uskladištene u memoriji u prilagođenom formatu koji se raspakuju i pokreću bez informacije zaglavlja. Kôd u svim fazama je jako zamagljen na isti način, uključujući i sam glavni teret. Glavna faza anti-analize i dalje sadrži metode koje je imala u prethodnoj verziji. Međutim, u glavnom korisnom teretu, autori zlonamjernog softvera su dodali neke nove funkcije.

 

Taktike izbjegavanja

  • Zlonamjerni softver provjerava da li postoje kakve promjene u API interfejsu, kao što su GetUserDefaultLangID i GetModuleHandleW da bi otkrio alate za praćenje, upoređujući prvi bajt ovih API interfejsa sa očekivanim vrijednostima kako bi izbjegao analizu,
  • Zlonamjerni softver prekida procese kao što su runlegacycplelevated.exe i runonce.exe da bi izbjegao otkrivanje i osigurao da njegove zlonamjerne aktivnosti mogu da nastave sa povišenim privilegijama bez podizanja alarma,
  • Zlonamjerni softver primjenjuje ažuriranje na NtTraceEvent API interfejsu da bi zaobišao praćenje događaja na Windows operativnom sistemu, sprečavajući evidentiranje njegovih zlonamjernih aktivnosti,
  • Zlonamjerni softver implementira metode za blokiranje isključivanja sistema putem AbortSystemShutdownW ili povratnog poziva prozora pomoću ShutdownBlockReasonCreate, omogućavajući neprekidan rad,
  • Zlonamjerni softver vrši provjeru udaljene radne površine, odnosno određuje da li je sistem pod daljinskom kontrolom tako što provjerava GetSystemMetrics povratnu vrijednost, ispituje vrijednosti sistemski registara i traži indikatore korišćenja udaljene radne površine,
  • Zlonamjerni softver traži upravljačke programe filtera Unified Write FilterUWF da bi se identifikovali sistemi zaštićeni od trajnih promjena, podstičući ga da se očisti i ponovo pokrene kako bi pobjegao iz okruženja u kojima bi njegova postojanost mogla biti ugrožena.

 

Bočno kretanje

Raspberry Robin zlonamjerni softver je u novoj verziji je malo promijenio svoju logiku bočnog kretanja. Ovaj zlonamjerni softver sada koristi PAExec.exe koji je dizajniran da dozvoli administratorima da pokreću procese na udaljenim sistemima, a koji je razvijen od strane Sysinternals (Microsoft) i što se široko koristi i prepoznaje u IT zajednici za daljinsko izvršavanje procesa. Ostali dijelovi bočnog kretanja zlonamjernog softvera ostali su isti. Na primjer, korisni teret koji treba da se izvrši je i dalje samoraspakujući paket i konfiguracija je u istom šablonu i sintaksi.

 

Komunikacija

Metode komunikacije Raspberry Robin zlonamjernog softvera su se neznatno promjenile. Počinje sa pokušajem kontaktiranja legitimne i dobro poznate Tor domene i provjerava da li dobija bilo kakav odgovor. Ako nema odgovora, Raspberry Robin ne pokušava da uspostavi komunikaciju sa pravim C2 serverima. Ako dobije odgovor, Raspberry Robin zlonamjerni softver nasumično bira domen sa druge liste koja sadrži 60 tvrdo kôdiranih adresa onion adresa.

Razlika u odnosu na prethodne uzorke je što Raspberry Robin zlonamjerni softver sada koristi V3 onion adrese, a razlog za to je vjerovatno zato što su V2 onion adrese zvanično zastarele i Tor pretraživač ih više ne podržava u najnovijoj verziji. Podaci koji se šalju su i dalje veoma slični prethodnoj verziji sa malim brojem podataka koji su dodati kao stablo procesa zlonamjernog softvera i nazivi datoteka. Ovi podaci su šifrovani sa RC4, a zatim b64 kôdirani kao putanja u komunikaciji sa C2. Komunikacija između Raspberry Robin zlonamjernog softvera i C2 se obavlja preko Tor modula koji se ubacuje u drugi proces kao rundll32.exe ili regsvr32.exe.

 

ZAKLJUČAK

Kao i mnoge porodice zlonamjernog softvera Raspberry Robin, konstantno evoluira kako bi izbjegao otkrivanje i održao prednost. Nedavno primijećene promjene u tehnikama ovog zlonamjernog softvera koje podrazumijevaju upotrebu ranjivosti nultog dana, samo naglašavaju odlučnost njegovih operatera da iskoriste slabosti pre nego što bezbjednosna ažuriranja postanu širok dostupna.

Zlonamjerni softver otežava analizu i otkrivanje korištenjem teškog zamagljivanja kôda, stalno pakujući i prikrivajući kôd kako bio omeo sigurnosne istraživače koji pokušavaju da razumiju njegovo unutrašnje funkcionisanje. Ovo dodaje sloj zaštite koji pomaže da zlonamjerni softver Raspberry Robin ostane neotkriven. Pored toga varijante ovog zlonamjernog softvera koriste Tor mrežu za komunikaciju, tehnologiju dizajniranu za anonimnost, da prikriju svoju komunikaciju sa komandnim i kontrolnim serverima, što otežava napore praćenja i omogućava zlonamjernom softveru da održava skrivenu vezu sa zlonamjernim akterima.

Zlonamjerni softver Raspberry Robin prevazilazi obične zlonamjerne softvere, jer je dizajniran da djeluje kao ulaz za daleko razornije sajber napade. Ako se ne kontroliše, žrtve bi se mogle suočiti sa strašnim posljedicama. Napadači mogu da izvrše krađu osjetljivih podatka, uključujući akreditive za prijavu, finansijske informacije ili privatne datoteke. To može dovesti do krađe identiteta, finansijskih gubitaka ili čak gubitka reputacije. Za korisnike i poslovne organizacije, opasnost ne prestaje ovdje, jer je primijećena veza između ovog zlonamjernog softvera i ransomware bandi. To znači da bi manji napad na kritične sisteme mogao iznenada dovesti do toga ovi sistemi budu šifrovani.

 Pored toga, nakon što stekne uporište na zaraženoj mašini, Raspberry Robin zlonamjerni softver može omogućiti napadačima da se kreću bočno unutar cijele poslovne mreže, što omogućava tiho izviđaju mete visoke vrijednosti, povećavajući obim i potencijal štete početne infekcije.

 

ZAŠTITA

U borbi protiv Raspberry Robin zlonamjerno softvera budnost je uslov o kojem se ne može pregovarati. Primjena nekih osnovnih pravila zaštite u sajber bezbjednosti može dramatično povećati bezbjednosni položaj korisnika i poslovnih organizacija:

  • Podizanje svijesti o opasnostima korištenja USB medija i ohrabrivanje korisnika da se kolne nepoznatih uređaja. Tamo gdje se USB mediji upotrebljavaju, potrebno je razmisliti o donošenju smjernica koje ograničavaju ili potpuno onemogućavaju korištenje USB medija,
  • Korištenje provjerenih sigurnosnih riješenja opremljenih naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
  • Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije Raspberry Robin zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke za Raspberry Robin zlonamjerni softver,
  • Redovno praćenje mrežnog saobraćaja radi neuobičajenih aktivnosti i porasta zahteva, kao i redovni pregled i ažuriranje procesa i alata za analizu mrežnog saobraćaja.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.