Das Zscaler ThreatLabz-Team entschlüsselte vor kurzem die umfangreichen Verschleierungstechniken von Raspberry Robin (auch bekannt als Roshtyak). Die Malware befindet sich seit 2021 im Umlauf und verbreitet sich hauptsächlich über infizierte USB-Geräte, so dass nach wie vor eine Gefahr zur Infektion von Windows-Systemen davon ausgeht.
Hauptaufgabe von Raspberry Robin ist das Nachladen und Ausführen der Payload auf einem kompromittierten Host. Damit es dazu kommt, müssen unterschiedlichste Aufgaben abgearbeitet werden, bevor die Payload angefordert wird.
Obwohl USB-Geräte eine gängige Methode zur Verbreitung von Malware sind, sticht Raspberry Robin durch seine besonderen Techniken, der Erkennung zu entgehen, hervor. Durch die umfangreichen Anti-Analysetechniken wird die Malware bei unterschiedlichen Bedrohungsakteuren geschätzt, um andere Malware-Familien wie beispielsweise Bumblebee nachzuladen. Die Sicherheitsforscher unterteilten ihre Analyse in vier verschiedene Komponenten, die die Ausführungsebenen, Verschleierungsmethoden, falsche Payloads und den Kern umfassen.
Die Taktik der Malware besteht aus Täuschen und Verschleiern
Die eigentliche Funktionalität von Raspberry Robin versteckt sich hinter unterschiedlichen Code-Schichten und auf jeder dieser Ebenen werden unterschiedliche Verschleierungstechniken eingesetzt wie Kontrollflussverflachung und Mixed-Boolean-Arithmetic (MBA)-Verschleierung. Wenn Raspberry Robin eine Analyseumgebung erkennt, reagiert es mit der Bereitstellung einer Täuschungs-Payload, um Sicherheitstools in die Irre zu führen.
Für die Kommunikation mit seinen Command-and-Control-Servern nutzt das Schadprogramm das TOR-Netzwerk. Zudem hat es eine Funktion, sich selbst zu verbreiten und Windows-Geräte im selben Netzwerk zu befallen. Die Entwickler von Raspberry Robin machen ausgiebig Gebrauch von Low-Level-APIs und Funktionen des Windows-Betriebssystems. Dabei verwenden sie verschiedene Techniken und Methoden, darunter Exploits und ein umfangreiches Tool-Set zur Umgehung von Sicherheitsprodukten und Sandbox-Umgebungen. Raspberry Robin geht sehr weit, um seine lokalen Privilegien zu erhöhen, indem er User-Account-Control (UAC)-Umgehungsmethoden und lokale Privilegien-Erweiterungen ausnutzt.
Fazit
Raspberry Robin ist ein fortschrittlicher Downloader, der eine erhebliche Bedrohung darstellt, da die Erkennung durch Sicherheitstools oder eine Sandbox durch unterschiedliche Verschleierungstaktiken erschwert wird. In einer mehrschichtigen Cloud-Sicherheitsplattform können Anzeichen einer Infizierung mit Raspberry Robin auf verschiedenen Ebenen erkannt werden.
(lb/Zscaler)