Эксплуатация CVE-2025-0282 в Ivanti Connect: анализ DslogdRAT

Эксплуатация CVE-2025-0282 в Ivanti Connect: анализ DslogdRAT

Анализ защищённых шлюзов Ivanti Connect выявил эксплуатацию уязвимости CVE-2025-0282 с помощью ELF‑троянца удалённого доступа DslogdRAT. Исследование, основанное на фундаментальной работе JPCERT/CC, подробно описывает структуру и поведение вредоносного ПО, демонстрируя отлаженную архитектуру для скрытой связи и устойчивого удержания на скомпрометированных системах.

Краткая сводка

Ключевые выводы исследования:

  • Эксплуатация уязвимости CVE-2025-0282 использована для доставки и запуска образца ELFDslogdRAT.
  • RAT реализует управление процессами через POSIX-стандарты и массовое порождение дочерних процессов с помощью fork.
  • Конфигурация RAT хранится в зашифрованном буфере и расшифровывается простым XOR-шифром в функции init_config() (2100 итераций, модификация буфера in‑place).
  • Сетевые соединения управляются из функции test(), которая выбирает между connectx() и listenx() в зависимости от флага конфигурации; наблюдаются связи по порту 443 с тайм‑аутом 30 секунд.
  • Обработка команд делегирована рабочему потоку, запускаемому после установления сокета — этот поток является основным модулем выполнения команд от C2.
  • Для ускорения локализации образца в аналитических средах предлагается применять сигнатурные подходы, в частности существующие правила YARA.

Архитектура процессов: fork и удержание

DslogdRAT использует распространённую для UNIX‑образных систем технику: серия fork-операций, при которых родительский процесс завершается, а дочерний продолжает выполнение. Такая модель обеспечивает:

  • скрытое продолжение работы после завершения инициирующего процесса;
  • возможность параллельного выполнения задач (маячок, сетевые подключения, обработка команд);
  • устойчивость к простым методам обнаружения, ориентированным на контроль родительских PID.

Функция child() демонстрирует циклическую структуру порождения новых дочерних процессов, что обеспечивает постоянное ветвление и поддержание удержания RAT. Такое устройство делает образец резилиентным к отдельным сбоям и попыткам прерывания одного из процессов.

Расшифровка конфигурации и инициализация

При старте дочерний процесс вызывает процедуру init_config(), которая расшифровывает критический конфигурационный буфер. Алгоритм простой — XOR с повторением операции 2100 раз и внесением изменений прямо в исходный буфер (in‑place). Это обеспечивает быстрый доступ к параметрам: IP/URL C2, порт, флаги режима соединения и таймауты.

Сетевые возможности: connectx(), listenx() и C2

Основная сетевая логика инкапсулирована в функции test(). В зависимости от конфигурационного флага она выбирает:

  • connectx() — исходящая связь к C2;
  • listenx() — организация входящего соединения (reverse listener).

Наблюдаемые параметры подключения указывают на использование защищенного канала: стандартный порт 443 и тайм‑аут соединения 30 секунд. Такие настройки затрудняют отличие трафика RAT от легитимного HTTPS‑трафика.

Обработка команд и роль рабочего потока

После установления сетевого сокета создаётся рабочий поток, ответственный за приём и выполнение команд от C2. Этот поток:

  • обрабатывает управляющие команды;
  • <li«производит» действия по сбору данных, исполнению команд и управлению файловой/сетевой активностью;

  • служит критическим компонентом операционной схемы — уничтожение или блокировка этого потока значительно ограничит функциональность RAT.

Индикаторы компрометации и рекомендации по детектированию

Исходя из анализа, мы выделяем следующие индикаторы для ускоренного реагирования и охвата расследований:

  • необычное ветвление процессов через fork и ранние завершения родительских PID;
  • вызовы функции init_config() с последующей активностью сетевого стека;
  • подключения по порту 443 к малоизвестным IP с таймаутом 30s и сессиями, имитирующими HTTPS;
  • наличие сигнатур, совпадающих с известными правилами YARA для DslogdRAT — рекомендуется интегрировать эти правила в pipeline сбора артефактов и sandboxes.

Выводы

Анализ демонстрирует, что эксплуатация CVE-2025-0282 использовалась для внедрения функционально насыщенного и устойчивого ELF-RAT — DslogdRAT. Архитектура с множественными дочерними процессами, простая, но предсказуемая схема расшифровки конфигурации (XOR, 2100 итераций) и гибкая сетевая логика (connectx()/listenx(), C2 по порту 443) делают образец сложным для детектирования традиционными средствами.

Для изучения и обнаружения рекомендованы сигнатурные подходы и использование существующих правил YARA, а также мониторинг аномалий поведения процессов и сетевой активности, имитирующей HTTPS‑трафик.

Исследование опирается на материалы JPCERT/CC и предназначено для ускорения независимых расследований специалистами по безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: