Red Canary警告Raspberry Robin恶意软件会通过USB驱动器实现传播

（来自：Red Canary官网）

除了潜藏旗下的恶意软件性质，我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。

攻击流程图

当用户将受感染的 USB 驱动器连接到他们的计算机时，Raspberry Robin 就会在暗地里开启传播。

利用 ROT13.lnk 文件来修改注册表

该蠕虫会将自己伪装成 .lnk 快捷方式文件，然后调用Windows命令提示符（cmd.exe）来启动恶意软件。

Raspberry Robin 的 cmd.exe 命令

接着它会利用微软标准安装程序（MSIexec.exe）连接到远程的命令与控制（C2）服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹。

引用设备名称的混合大小写命令

Red Canary 推测，Raspberry Robin 会通过从 C2 服务器安装恶意的动态链接库（DLL）文件，以维持长期潜伏状态。

Raspberry Robin 的恶意 msiexec.exe 命令

然后该恶意软件会利用 Windows 中包含的两个实用程序来调用 DLL —— 其中 Windows 设置管理器（fodhelper）旨在绕过用户账户控制（UAC），而 ODBC 驱动程序配置工具（odbcconf）则用于执行与配置 DLL 。

恶意 rundll32.exe 命令

不过安全研究人员承认这只是一个可行的假设，当前他们尚不明确相关 DLL 的作用、也未搞清楚该恶意软件是如何利用 USB 驱动器实现传播的。