Глубокий анализ RAT в процессе dllhost.exe: методы скрытия и компрометации
Недавний анализ глубокого вредоносного ПО, работающего на взломанных компьютерах, проливает свет на сложность современных атак и методы обхода систем безопасности. В центре исследования оказалась вредоносная программа, выполнявшаяся внутри процесса dllhost.exe с помощью скриптов и PowerShell. Она оставалась незамеченной в течение нескольких недель, что подчеркивает её высокую степень скрытности и продуманности.
Технический разбор вредоносного ПО
Исследователи получили дамп памяти вредоносного ПО, который позволил определить место внедрения – между адресами 0x1c3eefb0000 и 0x1c3ef029fff. Удалённый файл оказался 64-разрядным PE-файлом с повреждёнными заголовками DOS и PE. Такое повреждение — распространённая тактика скрытия кода, усложняющая анализ и восстановление.
Для динамического анализа специалистам пришлось воссоздать скомпрометированную среду, запустив процесс dllhost.exe в отладчике. Трудности вызвала атипичная точка входа вредоносного ПО, не указанная в заголовках PE. Вместо стандартного подхода было использовано средство IDA Pro для определения начальной функции по адресу 0x1C3EEFEE0A8.
Затем исследователи провели сложные операции по управлению памятью, включая:
- динамическое выделение памяти с помощью
VirtualAlloc(); - перемещение 257 адресов Windows API по 16 модулям;
- организацию среды, необходимой для запуска вредоносного кода.
Функциональные возможности трояна (RAT)
Определено, что вредоносная программа является трояном удалённого доступа (RAT), способным практически полностью контролировать заражённую систему.
Ключевые особенности ее работы включают:
- расшифровку и установление защищённого соединения с сервером управления (C2) по протоколу TLS;
- взаимодействие с доменом rushpapers.com на порту 443;
- использование API
getaddrinfo()для разрешения DNS-запросов; - создание и управление зашифрованными каналами передачи данных;
- взлом собственных процедур шифрования и дешифрования для получения открытого текста сообщений.
Дополнительная функциональность включает:
- снятие скриншотов экрана;
- сбор данных об активности пользователей;
- обеспечение многопоточной архитектуры сокетов для прослушивания входящих соединений;
- взаимодействие с сервисами Windows через API Service Control Manager с возможностью перечисления и управления системными службами.
Заключение
Обнаруженное вредоносное ПО демонстрирует уровень технической сложности, позволяющий злоумышленникам долгое время оставаться незамеченными и осуществлять полный контроль над заражённым компьютером. Использование повреждённых PE-заголовков, нестандартных точек входа и сложных механизмов коммуникации через TLS с легитимным доменом свидетельствует о продвинутых методах обхода средств защиты.
Данный кейс подчёркивает важность комплексного подхода к анализу вредоносного ПО и необходимости внедрения многоуровневых систем мониторинга, способных обнаруживать подобные угрозы даже на этапе их минимальной активности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
