Fortinet: вредоносная программа использует повреждённые заголовки PE-файла и сложную архитектуру RAT для скрытной работы
изображение: recraft
Компания Fortinet опубликовала отчёт о выявлении и анализе необычного трояна удалённого доступа (RAT), который в течение нескольких недель действовал на заражённой системе. Специалисты FortiGuard подробно описали, как вредонос сумел закрепиться в процессе Windows и ускользнуть от стандартных методов анализа.
По данным команды реагирования, вредоносный код был обнаружен в процессе dllhost.exe (PID 8200), что позволило ему замаскироваться под штатный компонент операционной системы. Для усложнения анализа злоумышленники преднамеренно повредили заголовки DOS и PE, сделав невозможным традиционное распознавание файла и работу автоматических средств диагностики. Для продолжения расследования специалистам пришлось снять полный дамп памяти объёмом 33 ГБ и вручную воссоздать заражённую среду.
Поиск точки входа выполнялся без привычной опоры на заголовочную структуру — нужная запись была локализована вручную по адресу 0x1C3EEFEE0A8. После этого исследователи в отладочной среде запустили вредонос в dllhost.exe, воссоздав сценарий реальной атаки.
Анализ показал, что RAT использует более 250 системных API, распределённых по 16 модулям. Каждому модулю требовалась ручная подгрузка и настройка: библиотеки, которые не подключались автоматически, добавлялись через LoadLibraryA() и LoadLibraryW().
После запуска вредонос расшифровывал из оперативной памяти параметры серверов управления — домен rushpapers.com и порт 443. Коммуникация с C2 велась через TLS, причём обмен сообщениями шифровался дважды: сначала с использованием функций SealMessage() и DecryptMessage(), затем — с помощью уникального XOR-алгоритма с новым ключом на каждую сессию. Этот подход позволял скрывать содержимое даже от инструментов, отслеживающих зашифрованный трафик.
В расшифрованных данных специалисты нашли сведения о системе жертвы, включая её ОС: «Windows 10 / 64-бит (10.0.19045)». Подобная структура RAT свидетельствует о высоком уровне подготовки разработчиков, ориентированных на длительное скрытое присутствие в целевой системе и устойчивость к анализу.
По оценке Fortinet, пример демонстрирует эволюцию вредоносных программ в сторону глубокой маскировки, разрушения стандартных сигнатурных механизмов и полной ориентации на противодействие реагированию со стороны ИБ-команд.
