Главная страница » IOC
0
4 месяца
IOC

Raspberry Robin Worm IOCs - Part 10

worm

Raspberry Robin, также известный как Roshtyak, - это вредоносный загрузчик, который циркулирует в дикой природе уже несколько лет, распространяясь в основном через зараженные USB-устройства. Отличительной особенностью Raspberry Robin являются уникальные методы дезинфекции бинарных файлов, широкое использование методов антианализа и набор эксплойтов для повышения привилегий. Он использовался различными злоумышленниками для распространения других семейств вредоносных программ, таких как Bumblebee.

Raspberry Robin

Raspberry Robin использует широкий спектр методов уклонения от анализа. Когда он обнаруживает среду для анализа, он реагирует развертыванием ложной полезной нагрузки, чтобы обмануть исследователей и инструменты безопасности. Вредоносный загрузчик защищен и развернут с помощью нескольких слоев кода, в каждом из которых используются такие методы обфускации, как сглаживание потока управления и смешанная булево-арифметическая (MBA) обфускация. Raspberry Robin общается со своими командно-контрольными (C2) серверами через сеть TOR. Разработчики Raspberry Robin широко используют низкоуровневые API и возможности операционной системы Windows. Кроме того, Raspberry Robin обладает способностью к самораспространению по сети.

Технический анализ Raspberry Robin посвящен его особенностям и функциональным возможностям, включая методы обфускации и антианализа. Анализ разделен на четыре основных раздела: уровни исполнения, методы обфускации, полезная нагрузка-обманка и основной слой. Уровни исполнения Raspberry Robin включают в себя несколько слоев, которые служат разным целям. Особенно важны первый, второй и третий слои. На этих уровнях используются такие методы, как расшифровка XOR, модифицированный алгоритм aPLib для распаковки и измерение производительности для определения того, запущен ли он в аналитической среде или в песочнице.

Взаимодействие между различными уровнями показано на диаграмме многоуровневой архитектуры Raspberry Robin. Первый уровень выполнения выполняет антианалитические действия, проверяя значение регистра сегмента кода (CS) и переключая значение регистра глобального сегмента. Затем он подсчитывает количество итераций, необходимых для восстановления значения регистра по умолчанию, чтобы обнаружить эмуляцию кода. Анализ также включает фрагмент кода на языке Python для воспроизведения этой операции.

В заключение следует отметить, что Raspberry Robin - это вредоносный загрузчик, который находится в обращении уже несколько лет, распространяясь в основном через зараженные USB-устройства. Он обладает такими уникальными характеристиками, как методы дезинфекции бинарных файлов, обширные методы антианализа и эксплойты для повышения привилегий. Raspberry Robin использовался различными злоумышленниками для распространения различных семейств вредоносных программ. Он использует несколько слоев кода, в каждом из которых применяются методы обфускации, и связывается со своими командно-контрольными серверами через сеть TOR. Анализ уровней выполнения Raspberry Robin позволяет выявить меры противодействия анализу для обнаружения эмуляции кода.

Indicators of Compromise

URLs

  • https://2pxsdtxngssu3vqqujdfgu4bsmlkp3d2ytctawznlhhez6tq57wzpzqd.onion:55314/
  • https://3bh22ezbxub3dopbqja7jjymdussvwgl3eu4xzlsdyagtnhzxy3tr3id.onion:3367/
  • https://3zs4zdszo3lesutdbuenzvlspuh6wljj6eyntv73dxxig3bk2wcskrad.onion:15842/
  • https://4jtsmu3u4yrbehjf4rzfwsswhpc7ohs4nrfnlfu3xebteeaf4uv3okyd.onion:37151/
  • https://4rnzfvzybry65auecpi3n67c6ynuunvs77qpk45svyhhsj6oisibk3qd.onion:39567/
  • https://5bqxmurmtkqlzis65uu22aspcuhivb6vpzpcpma5wfl5ngz2ha6oxzqd.onion:18231/
  • https://64iahnunyhf6ph6qvakjp22a3j6wlvl4sdmbh6elwri6up5gpnm7xkyd.onion:33960/
  • https://6agzykvu3rjnwpdnky777ffxb5dj4fiemftho4tsoeakp2xa542pj7id.onion:34024/
  • https://6kykjg6h7sjqru5puc57mb2nhd2bwhtewdswnsg4rlr3rw6t4iqrpgyd.onion:13392/
  • https://6praos6qyi3b5kcurfqe4kyh5ihu4k3z6mjbggkixnfyhbpomy5szoad.onion:4123/
  • https://6s75xlg3auzdnccos4re4hrmcxyg6fivxsqm3cldv2gowl2engljtqyd.onion:58212/

SHA256

  • 0632a600bd59a0fab86fd199a041b1d159162ae1d8d7ad62150270257bd9bc8b
  • 5b8043e178373d4b732c6bf1013173b9f9a1f30269996392da367547d6a4a70f
  • 852ce7c57c68243a1189db61e750056041bed3802f2c48dcee4cfc189b4e4949
Комментарии: 0
Похожие записи
0
3 месяца
IOC

Zloader Trojan IOCs - Part 6

remote access Trojan
Zloader, также известный как Terdot, DELoader или Silent Night, - модульный троянец, основанный на утечке исходного кода Zeus, который появился в 2015 году. Zloader Trojan Изначально Zloader был разработан
0
3 месяца
IOC

Venom Spider MaaS IOCs

security
Исследователи из Zscaler ThreatLabz обнаружили новые инструменты для работы с вредоносным ПО, пополнившие арсенал известного злоумышленника, работающего с платформой «вредоносное ПО как услуга» (MaaS)
0
5 месяцев
IOC

DarkVision RAT IOCs

remote access Trojan
Компания Zscaler выпустила отчет о DarkVision RAT - высоконастраиваемом трояне удаленного доступа (RAT), впервые появившемся в 2020 году и завоевавшем популярность благодаря своей доступности и широкому набору функций.