文章总结： 本文深入解析RaspberryRobin蠕虫利用混淆WSF脚本传播的新手段，指出其通过反分析机制和修改Defender白名单规避检测，并作为高危负载引导程序。建议企业限制WSF执行权限，严密监控WMI查询及异常下载，并加强对Defender排除项的审计以构建有效防线。 综合评分： 85 文章分类： 恶意软件,威胁情报,终端安全

深度解析：Raspberry Robin 蠕虫演进——利用 WSF 脚本构建防御盲区

SecLab安全实验室

2026年1月7日 17:00 山东

本文转载于HP Wolf Security : https://threatresearch.ext.hp.com/raspberry-robin-now-spreading-through-windows-script-files/ Raspberry Robin

首次发现于 2021 年底，最初针对技术和制造业。目前它已成为企业面临的最流行威胁之一。今年 3 月，HP 威胁研究团队发现该蠕虫的传播方式发生改变：攻击者正利用高度混淆的 Windows 脚本文件（WSF） 分发恶意软件。通过多种反分析技术，该脚本能有效规避检测。虽然该病毒历史上以 USB 移动介质传播闻名，但其分发者一直在尝试新的感染路径。

什么是 Raspberry Robin？ 它以重度混淆和对抗分析著称，旨在绕过沙箱并阻碍安全团队的研究。感染后，它通过 Tor 网络与 C2 服务器通信。作为一种“立足点”工具，它常被用于投放 SocGholish、Cobalt Strike 等恶意负载，甚至是勒索软件的前奏。

1. 技术特性与负载分发

Raspberry Robin 不仅仅是一个蠕虫，更是一个成熟的恶意软件分发平台。它常作为 SocGholish、Cobalt Strike 等高危负载的引导程序（Downloader）。其通信机制依托 Tor 网络，确保了 C2 指令传输的匿名性。

2. 感染链的演进历程

• 早期阶段： 主要依赖包含 .lnk 快捷方式的 USB 设备，通过 msiexec.exe 触发负载。
• 中期阶段： 尝试利用 Discord 托管的 RAR 压缩包、侧加载 DLL，以及恶意广告引导用户下载 .7z 或 .msi 安装包。
• 当前阶段： 转向 .wsf 格式。由于这类文件在企业内网中常用于合法的自动化管理，其恶意行为极易被淹没在海量的合法日志中。

3. WSF 下载器技术细节

• 混淆策略： 脚本中充斥着大量的乱码字符作为噪音，旨在误导静态分析工具和人工审计。代码逻辑通过动态计算的控制流（While 循环与 Switch 语句结合）实现。

  

  

• 反分析机制：

• 位置敏感性： 若检测到文件在“桌面”运行则自动退出。

• 反侦察陷阱： 在看似无用的垃圾代码中埋入关键变量赋值，若分析师在重构代码时将其删除，脚本将无法正常运行。

• 动态逃逸： 脚本通过带参数重启自身来跳出调试器的跟踪。

• 防御致盲： 恶意脚本会执行一条极具破坏性的指令——将整个主硬盘挂载到 Microsoft Defender 的白名单中，从而为后续的 DLL 负载彻底扫清障碍。

Raspberry Robin 的最新变种在 VirusTotal 上的零检出率（分析初期）敲响了警钟。其攻击手段已从单纯的物理媒介扩散转向复杂的社会工程学与系统管理工具滥用。

安全对策： 限制环境中 .wsf 脚本的执行权限。

• 严密监控 WMI 查询异常及 curl 向未知域名的下载请求。
• 加强对 Microsoft Defender 排除项变动的审计。

关注我们的公众号，并给本文点赞，点个推荐支持一下吧！您的每一个小红心，都是我坚持创作优质内容的最大动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecLab安全实验室 《深度解析：Raspberry Robin 蠕虫演进——利用 WSF 脚本构建防御盲区》