Fortinet: Windows-бот скрывался в системе несколько недель, используя испорченные заголовки и PowerShell-скрипты для запуска

Компания Fortinet опубликовала техническое расследование, в котором описала атаку с применением вредоносного ПО, способного длительное время незаметно работать в среде Windows. Уникальность угрозы заключается в использовании PE-файла с преднамеренно повреждёнными заголовками DOS и PE, что существенно осложнило его анализ и затруднило традиционные методы обнаружения.

Специалисты FortiGuard, в том числе Сяопэн Чжан и Джон Симмонс, зафиксировали инцидент на скомпрометированной машине, где вредонос действовал в течение нескольких недель внутри процесса dllhost.exe. Первоначальный запуск был осуществлён через PowerShell-скрипт с применением утилиты PsExec, однако сам скрипт в ходе последующего анализа выявлен не был.

Для дальнейшего анализа специалисты получили полный дамп памяти заражённой системы и дамп процесса. Сам исполняемый файл извлечь не удалось, но поведение вредоноса удалось воспроизвести в лабораторной среде. В ходе многочисленных итераций анализа исследователям удалось воссоздать структуру заражённой системы и идентифицировать работу 64-битного PE-файла с нарушенными заголовками, позволившими избежать сигнатурного анализа.

После запуска в памяти расшифровывалась информация о сервере управления, в том числе домен rushpapers[.]com и параметры для TLS-соединения. Для взаимодействия использовался выделенный поток: основной поток переходил в режим ожидания, а соединение с C2 устанавливалось в параллельной нити, что позволяло скрывать сетевую активность.

В отчёте отмечается, что перед запуском основного механизма вредонос выполнял декодирование содержимого, хранящегося в оперативной памяти, без обращения к внешним файлам. Это дополнительно затруднило его фиксацию на этапе реагирования. Все данные шифровались в процессе обмена, использовался протокол TLS, а передача шла через выделенный канал.

Исследователи подчёркивают, что активность была связана с попыткой распространения вымогательского ПО, но атака была остановлена до запуска основной нагрузки. Этот случай демонстрирует новые подходы злоумышленников к скрытному присутствию и обходу защитных механизмов — в частности, через нарушение структурных элементов PE-файла и обход анализа с помощью неочевидных точек входа и нестандартного запуска.