👾 В новом выпуске Breaking Malware Алексей Вишняков, эксперт Standoff 365, разобрал от а до я новую вредоносную кампанию, в которой используется червь Raspberry Robin.
Об этом вредоносе известно с 2021 года: его предыдущие версии умели распространяться через USB-накопители. За прошедшие годы червь эволюционировал и стал использоваться как промежуточный компонент для доставки другого ВПО.
🗄 Путь доставки червя начинается с простого — через Discord жертва получает RAR-архив с двумя файлами: один — исполняемый (EXE), второй — динамическая библиотека DLL. И фактически заражение стартует с запуска безопасного, доверенного инструмента Microsoft — oleview.
Далее Raspberry Robin повышает привилегии в системе с помощью двух 0-day-эксплойтов и техники KernelCallbackTable. О них в выпуске и рассказал Алексей.
🤔 Как обнаружить и остановить Raspberry Robin? Например, с помощью песочницы PT Sandbox или продукта для защиты конечных точек MaxPatrol EDR, которые детектят вредонос на ранних этапах атаки.
Таймкоды:
0:00 — интро
0:40 — предыстория
1:27 — вектор проникновения
4:18 — KernelCallbackTable инжект
5:43 — CVE-2023-36802
7:33 — CVE-2023-29360
9:55 — Anti-analysis-evasion
10:45 — детекты
13:20 Финал
#PositiveЭксперты
300 views
421
98
9 months ago 00:13:41 441
Малварь «Raspberry Robin» — фатальный разбор!
3 months ago 00:09:33 1
zig will change programming forever
3 months ago 00:08:39 1
one of the craziest exploits i’ve ever seen
3 months ago 00:06:51 23
i made this baby monitor mine bitcoin (free money?)
4 months ago 00:25:30 1
A New OS Has Been Dropped Ultimate Arch Lite
8 months ago 00:17:21 8
Predator OS for Penetration Testing, Ethical Hacking, Privacy, Hardening, & Secure, Anonymized Linux
1 year ago 00:08:00 1
TSURUGI Linux A DFIR distro to perform your digital forensics analysis and for educational purposes
1 year ago 00:12:19 1
Make Slow Computers Fast, You Don’t Need A Fast Computer, TPM 2.0 or UEFI, You Can Run SparkleOS