Эксплуатация CVE-2025-0282 в Ivanti Connect: анализ DslogdRAT

Анализ защищённых шлюзов Ivanti Connect выявил эксплуатацию уязвимости CVE-2025-0282 с помощью ELF‑троянца удалённого доступа DslogdRAT. Исследование, основанное на фундаментальной работе JPCERT/CC, подробно описывает структуру и поведение вредоносного ПО, демонстрируя отлаженную архитектуру для скрытой связи и устойчивого удержания на скомпрометированных системах.
Краткая сводка
Ключевые выводы исследования:
- Эксплуатация уязвимости CVE-2025-0282 использована для доставки и запуска образца ELF — DslogdRAT.
- RAT реализует управление процессами через POSIX-стандарты и массовое порождение дочерних процессов с помощью
fork. - Конфигурация RAT хранится в зашифрованном буфере и расшифровывается простым XOR-шифром в функции
init_config()(2100 итераций, модификация буфера in‑place). - Сетевые соединения управляются из функции
test(), которая выбирает междуconnectx()иlistenx()в зависимости от флага конфигурации; наблюдаются связи по порту 443 с тайм‑аутом 30 секунд. - Обработка команд делегирована рабочему потоку, запускаемому после установления сокета — этот поток является основным модулем выполнения команд от C2.
- Для ускорения локализации образца в аналитических средах предлагается применять сигнатурные подходы, в частности существующие правила YARA.
Архитектура процессов: fork и удержание
DslogdRAT использует распространённую для UNIX‑образных систем технику: серия fork-операций, при которых родительский процесс завершается, а дочерний продолжает выполнение. Такая модель обеспечивает:
- скрытое продолжение работы после завершения инициирующего процесса;
- возможность параллельного выполнения задач (маячок, сетевые подключения, обработка команд);
- устойчивость к простым методам обнаружения, ориентированным на контроль родительских PID.
Функция child() демонстрирует циклическую структуру порождения новых дочерних процессов, что обеспечивает постоянное ветвление и поддержание удержания RAT. Такое устройство делает образец резилиентным к отдельным сбоям и попыткам прерывания одного из процессов.
Расшифровка конфигурации и инициализация
При старте дочерний процесс вызывает процедуру init_config(), которая расшифровывает критический конфигурационный буфер. Алгоритм простой — XOR с повторением операции 2100 раз и внесением изменений прямо в исходный буфер (in‑place). Это обеспечивает быстрый доступ к параметрам: IP/URL C2, порт, флаги режима соединения и таймауты.
Сетевые возможности: connectx(), listenx() и C2
Основная сетевая логика инкапсулирована в функции test(). В зависимости от конфигурационного флага она выбирает:
connectx()— исходящая связь к C2;listenx()— организация входящего соединения (reverse listener).
Наблюдаемые параметры подключения указывают на использование защищенного канала: стандартный порт 443 и тайм‑аут соединения 30 секунд. Такие настройки затрудняют отличие трафика RAT от легитимного HTTPS‑трафика.
Обработка команд и роль рабочего потока
После установления сетевого сокета создаётся рабочий поток, ответственный за приём и выполнение команд от C2. Этот поток:
- обрабатывает управляющие команды;
- служит критическим компонентом операционной схемы — уничтожение или блокировка этого потока значительно ограничит функциональность RAT.
<li«производит» действия по сбору данных, исполнению команд и управлению файловой/сетевой активностью;
Индикаторы компрометации и рекомендации по детектированию
Исходя из анализа, мы выделяем следующие индикаторы для ускоренного реагирования и охвата расследований:
- необычное ветвление процессов через
forkи ранние завершения родительских PID; - вызовы функции
init_config()с последующей активностью сетевого стека; - подключения по порту 443 к малоизвестным IP с таймаутом 30s и сессиями, имитирующими HTTPS;
- наличие сигнатур, совпадающих с известными правилами YARA для DslogdRAT — рекомендуется интегрировать эти правила в pipeline сбора артефактов и sandboxes.
Выводы
Анализ демонстрирует, что эксплуатация CVE-2025-0282 использовалась для внедрения функционально насыщенного и устойчивого ELF-RAT — DslogdRAT. Архитектура с множественными дочерними процессами, простая, но предсказуемая схема расшифровки конфигурации (XOR, 2100 итераций) и гибкая сетевая логика (connectx()/listenx(), C2 по порту 443) делают образец сложным для детектирования традиционными средствами.
Для изучения и обнаружения рекомендованы сигнатурные подходы и использование существующих правил YARA, а также мониторинг аномалий поведения процессов и сетевой активности, имитирующей HTTPS‑трафик.
Исследование опирается на материалы JPCERT/CC и предназначено для ускорения независимых расследований специалистами по безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



