Cybersecurity -onderzoekers hebben de wraps afgenomen van een ongewone cyberaanval die malware met corrupte DOS en PE -headers benutte, volgens nieuwe bevindingen van Fortinet.
Het DOS (Disk -besturingssysteem) en PE -headers (draagbare uitvoerbare naam) zijn essentiële onderdelen van een Windows PE -bestand, die informatie over het uitvoerbare bestand verstrekken.
Hoewel de DOS-header het uitvoerbare bestand achteruit maakt compatibel met MS-DOS en het mogelijk maakt om door het besturingssysteem als een geldig uitvoerbaar bestand te worden herkend, bevat de PE-header de metadata en informatie die nodig is om Windows te laden en uit te voeren.
“We ontdekten malware die al enkele weken op een gecompromitteerde machine was uitgevoerd”, zei onderzoekers Xiaopeng Zhang en John Simmons van het Fortiguard Incident Response Team in een rapport gedeeld met het Hacker News. “De dreigingsacteur had een reeks scripts en PowerShell uitgevoerd om de malware in een Windows -proces te laten werken.”
Fortinet zei dat hoewel het niet in staat was om de malware zelf te extraheren, het een geheugendump van het lopende malwareproces en een volledige geheugenstort van de gecompromitteerde machine verwierf. Het is momenteel niet bekend hoe de malware wordt gedistribueerd of hoe wijdverbreid de aanvallen die het distribueren, zijn.
De malware, die wordt uitgevoerd binnen een dllhost.exe-proces, is een 64-bit PE-bestand met corrupte DOS- en PE-headers in een poging om analyse-inspanningen uit te dagen en de payload uit het geheugen te reconstrueren.
Ondanks deze wegversperringen merkte het cybersecuritybedrijf verder op dat het in staat was om de gedumpt malware uit elkaar te halen binnen een gecontroleerde lokale instelling door de omgeving van het gecompromitteerde systeem na “meerdere proeven, fouten en herhaalde fixes te repliceren.”
De malware, eenmaal uitgevoerd, decodeert commando-and-control (C2) domeininformatie opgeslagen in het geheugen en legt vervolgens contact op met de server (“Rushpapers (.) Com”) in een nieuw gemaakte dreiging.
“Na het starten van de thread komt de hoofdthread in een slaapstatus totdat de communicatiethread de uitvoering ervan voltooit,” zeiden de onderzoekers. “De malware communiceert met de C2 -server via het TLS -protocol.”
Verdere analyse heeft bepaald dat de malware een externe toegang is Trojan (rat) met mogelijkheden om screenshots vast te leggen; de systeemdiensten opsommen en manipuleren op de gecompromitteerde host; en fungeren zelfs als een server om in te wachten op inkomende “client” -verbindingen.
“Het implementeert een multi-threaded socket-architectuur: elke keer dat een nieuwe client (aanvaller) verbinding maakt, ontstaat de malware een nieuwe thread om de communicatie aan te kunnen,” zei Fortinet. “Dit ontwerp maakt gelijktijdige sessies mogelijk en ondersteunt meer complexe interacties.”
“Door in deze modus te werken, verandert de malware effectief het gecompromitteerde systeem in een externe toegangsplatform, waardoor de aanvaller verdere aanvallen kan uitvoeren of verschillende acties uitvoert namens het slachtoffer.”
