- 19,427
- 40
- 8 Ноя 2022
Искать этот RAT в ОС — всё равно, что ловить дым голыми руками.
Специалисты Fortinet Для просмотра ссылки Войдиили Зарегистрируйся о необычной вредоносной программе, обнаруженной в ходе анализа заражённой машины, на которой она проработала несколько недель. Речь идёт о 64-битной Windows-библиотеке с повреждёнными заголовками DOS и PE, что серьёзно осложняет как автоматическое обнаружение, так и ручной анализ угрозы. Несмотря на попытки запутать исследование, команде удалось восстановить поведение вредоноса, воспроизведя исходную среду заражения в изолированной системе.
Файлы формата Для просмотра ссылки Войдиили Зарегистрируйся (Portable Executable), применяемые в Windows, содержат важную информацию о структуре программы — в том числе заголовки DOS и PE. Заголовок DOS сохраняет обратную совместимость с MS-DOS и позволяет системе опознать файл как исполняемый. Заголовок PE несёт данные, необходимые для загрузки и запуска программы Windows. В данном случае оба этих сегмента были намеренно искажены, чтобы усложнить реверс-инжиниринг и затруднить извлечение полезной нагрузки из дампа памяти.
Хотя сам файл вредоносной программы извлечь не удалось, специалисты Fortinet получили дамп памяти запущенного процесса и полный дамп оперативной памяти с заражённого устройства. Зловред выполнялся в процессе «dllhost.exe», а его запуск был осуществлён через пакетный файл и Для просмотра ссылки Войдиили Зарегистрируйся . Точный способ распространения пока не установлен, равно как и масштабы атаки.
Анализ показал, что после запуска вредонос расшифровывает адрес командного сервера из памяти и устанавливает с ним соединение. В ходе атаки использовался домен «rushpapers[.]com», взаимодействие с которым происходило через протокол TLS. Основной поток программы уходит в «спящий режим», в то время как вспомогательный поток занимается установкой соединения и передачей данных.
Функционально вредонос представляет собой полноценный Для просмотра ссылки Войдиили Зарегистрируйся — удалённую троянскую программу с широким набором возможностей. Она способна делать снимки экрана, управлять службами системы, а также работать в режиме сервера, принимая подключения от злоумышленника. Для этого реализована многопоточная архитектура: на каждое новое соединение выделяется отдельный поток, что обеспечивает параллельную работу с несколькими клиентами и возможность выполнять более сложные операции.
По оценке Fortinet, подобная архитектура позволяет злоумышленнику использовать заражённое устройство как полноценный инструмент удалённого управления, с которого можно выполнять команды, атаковать другие цели или сохранять контроль за сетью жертвы.
Специалисты Fortinet Для просмотра ссылки Войди
Файлы формата Для просмотра ссылки Войди
Хотя сам файл вредоносной программы извлечь не удалось, специалисты Fortinet получили дамп памяти запущенного процесса и полный дамп оперативной памяти с заражённого устройства. Зловред выполнялся в процессе «dllhost.exe», а его запуск был осуществлён через пакетный файл и Для просмотра ссылки Войди
Анализ показал, что после запуска вредонос расшифровывает адрес командного сервера из памяти и устанавливает с ним соединение. В ходе атаки использовался домен «rushpapers[.]com», взаимодействие с которым происходило через протокол TLS. Основной поток программы уходит в «спящий режим», в то время как вспомогательный поток занимается установкой соединения и передачей данных.
Функционально вредонос представляет собой полноценный Для просмотра ссылки Войди
По оценке Fortinet, подобная архитектура позволяет злоумышленнику использовать заражённое устройство как полноценный инструмент удалённого управления, с которого можно выполнять команды, атаковать другие цели или сохранять контроль за сетью жертвы.
- Источник новости
- www.securitylab.ru
