Raspberry Robin est un ver USB dont le succès est essentiellement dû à sa méthode de propagation, qui se base sur le manque de vigilance de l’utilisateur final.
Raspberry Robin est un ver qui utilise le support USB pour se déployer. Les techniques mises en jeu ne sont pas complexes, mais la détection de ce type de ver peut s’avérer bien plus difficile que ce que l’on peut le croire aux premiers abords.
Raspberry Robin est un nom de code donné par les chercheurs de Redcanary [1] à un ensemble d'activités malveillantes utilisant les supports USB comme techniques de latéralisation, et msisexec comme moyen de persistance. Ici encore il est très difficile de caractériser l’attaque en se basant sur la dernière charge, car celle-ci change selon les « clients ». En effet, Raspberry Robin est souvent vu comme un dropper d’une charge sur mesure pour un client final.
Dans cet article, nous allons étudier les détails techniques de la propagation du ver, les techniques de détection que nous pouvons mettre en place en nous basant sur des puits de logs, Sysmon et EDR, et enfin comment s’en protéger.
1. Analyse...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[1] Redcanary article sur Raspberry Robin : https://redcanary.com/blog/raspberry-robin/
[2] Spécification du format lnk : https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-shllink/16cb4ca1-9339-4d0c-a68d-bf1d6cc0f943
[3] Dépôt du projet PyLnk : https://github.com/strayge/pylnk/blob/master/pylnk3.py
[4] GitHub d’Avast listant les IOC de Raspberry Robin : https://github.com/avast/ioc/tree/master/RaspberryRobin
[5] Comportement auto adaptatif de Raspberry Robin : https://www.bleepingcomputer.com/news/security/raspberry-robin-worm-drops-fake-malware-to-confuse-researchers/
[6] Analyse des loaders de Raspberry Robin :
https://securityintelligence.com/posts/raspberry-robin-worm-dridex-malware/
