树莓知更鸟恶意软件利用CLFS驱动漏洞新攻击手段入侵Windows系统

网络安全领域正面临持续威胁——被称为Roshtyak的复杂恶意软件下载器"树莓知更鸟"(Raspberry Robin)持续针对Windows系统发起攻击，其攻击能力和规避技术不断升级。这款最早于2021年被发现的通过USB传播的恶意软件展现出惊人的适应能力，主要通过受感染的可移动存储设备针对企业环境发起攻击。

感染载体与传播方式

树莓知更鸟的感染载体与其最初部署策略保持一致，利用被攻陷的USB设备渗透目标网络。一旦执行，该恶意软件就会建立持久性机制，并尝试通过TOR网络与命令控制(C2)基础设施进行通信。

技术演进与漏洞利用

恶意软件运营商持续改进攻击方法，采用复杂的混淆技术挑战传统检测机制，增加逆向工程难度。Zscaler研究人员发现树莓知更鸟架构出现重大进化，特别值得注意的是其整合了CVE-2024-38196漏洞利用——这是一个针对通用日志文件系统(Common Log File System, CLFS)驱动程序漏洞的本地权限提升攻击。

这一关键升级使恶意软件能够在受感染系统上提升权限，可能获得管理员级访问以实现更深层次的系统渗透。其通信基础设施也进行了重大修改，从AES-CTR加密转向更强大的ChaCha-20算法进行网络数据保护。

高级混淆与持久化机制

最新版本的树莓知更鸟采用了旨在阻碍分析工作的复杂混淆技术。该恶意软件现在在具有扁平化控制流的函数内部实现了多个初始化循环，有效抵御了先前版本中成功的暴力解密尝试。

struct encryptionInfo { uint32_t nonce_part2; uint32_t nonce_part3; uint32_t counter; uint32_t nonce_part1; };

此外，该恶意软件还采用混淆的栈指针和条件语句，破坏标准反编译过程，需要安全分析师手动干预才能进行正确分析。这种加密变更与每个请求随机生成的计数器(counter)和随机数(nonce)值相结合，显著增强了恶意软件规避基于网络的检测系统的能力。