異常攻擊手法曝光

根據(jù)Fortinet最新研究，網(wǎng)絡(luò)安全專家發(fā)現(xiàn)一起利用DOS（磁盤操作系統(tǒng)）和PE（可移植可執(zhí)行）頭文件損壞的惡意軟件發(fā)動(dòng)的異常網(wǎng)絡(luò)攻擊。這兩種頭文件是Windows PE文件的核心組成部分，前者確?？蓤?zhí)行文件與MS-DOS向后兼容，后者則包含Windows加載執(zhí)行程序所需的元數(shù)據(jù)。

FortiGuard事件響應(yīng)團(tuán)隊(duì)研究員張曉鵬和John Simmons向《黑客新聞》透露："我們在受感染機(jī)器上發(fā)現(xiàn)了已運(yùn)行數(shù)周的惡意軟件，攻擊者通過批量腳本和PowerShell在Windows進(jìn)程中執(zhí)行該惡意程序。"雖然未能提取惡意樣本，但研究人員獲取了運(yùn)行中惡意進(jìn)程的內(nèi)存轉(zhuǎn)儲(chǔ)和整機(jī)內(nèi)存鏡像，目前尚不清楚其傳播途徑和影響范圍。

反分析技術(shù)剖析

該惡意軟件以dllhost.exe進(jìn)程運(yùn)行，是一個(gè)64位PE文件，其DOS和PE頭文件遭到故意破壞以增加分析難度，阻礙從內(nèi)存重建有效載荷。Fortinet表示，經(jīng)過"多次試驗(yàn)、糾錯(cuò)和反復(fù)修復(fù)"后，最終在模擬受感染環(huán)境的受控本地設(shè)置中成功解析了轉(zhuǎn)儲(chǔ)樣本。

多線程C2通信機(jī)制

研究顯示，該惡意程序執(zhí)行后會(huì)解密內(nèi)存中存儲(chǔ)的命令控制（C2）域名信息，隨后與新發(fā)現(xiàn)的威脅域名"rushpapers[.]com"建立連接。研究人員指出："主線程啟動(dòng)通信線程后即進(jìn)入休眠狀態(tài)，直至通信線程完成執(zhí)行，所有C2通信均通過TLS協(xié)議加密傳輸。"

完整RAT功能揭秘

深入分析確認(rèn)這是一款功能完備的遠(yuǎn)程訪問木馬（RAT），具備屏幕截圖捕獲、受感染主機(jī)系統(tǒng)服務(wù)枚舉與操控等能力，甚至可作為服務(wù)器等待"客戶端"連接。Fortinet強(qiáng)調(diào)："其采用多線程套接字架構(gòu)——每當(dāng)新客戶端（攻擊者）連接時(shí)，就會(huì)創(chuàng)建專屬線程處理通信，這種設(shè)計(jì)既支持并發(fā)會(huì)話，又能實(shí)現(xiàn)復(fù)雜交互。"通過這種運(yùn)作模式，受感染系統(tǒng)實(shí)質(zhì)上被轉(zhuǎn)化為遠(yuǎn)程控制平臺(tái)，攻擊者可借此實(shí)施后續(xù)攻擊或代受害者執(zhí)行任意操作。