MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Cyber Security

New Windows RAT Evades Detection for Weeks Using Corrupted DOS and PE Headers


برمجية RAT جديدة على ويندوز تتجنب الاكتشاف لأسابيع باستخدام رؤوس DOS وPE تالفة

كشف باحثو الأمن السيبراني عن هجوم غير تقليدي تضمن برمجية خبيثة تحتوي على رؤوس DOS وPE تالفة، بحسب تقرير جديد صادر عن شركة Fortinet.

رؤوس DOS وPE تُعتبر من المكونات الأساسية في ملفات Windows القابلة للتنفيذ (PE)، حيث يحتوي رأس DOS على تعليمات توافقية لأنظمة MS-DOS القديمة، بينما يحتوي رأس PE على بيانات التشغيل والتكوين اللازمة لتحميل البرنامج وتشغيله في بيئة ويندوز.

اكتشاف برمجية نشطة منذ أسابيع

قال الباحثان Xiaopeng Zhang وJohn Simmons من فريق الاستجابة للحوادث بـ FortiGuard: "اكتشفنا برمجية كانت نشطة على جهاز مخترق لعدة أسابيع. المهاجم استخدم مجموعة من السكربتات وPowerShell لتشغيل البرمجية داخل نظام ويندوز."

لم تتمكن Fortinet من استخراج الملف التنفيذي الخبيث نفسه، لكنها حصلت على تفريغ للذاكرة الخاصة بالبرمجية أثناء التشغيل، بالإضافة إلى نسخة كاملة من ذاكرة الجهاز المصاب.

البرمجية كانت تعمل ضمن عملية dllhost.exe، وهي عبارة عن ملف PE بنظام 64-بت، تم تعديل رؤوسه بشكل متعمد لإعاقة تحليل الباحثين ومنع استخراج الحمولة من الذاكرة.

إعادة بناء البرمجية في بيئة معزولة

رغم صعوبة التحليل، نجح الفريق في تفكيك البرمجية بعد عدة محاولات باستخدام بيئة مطابقة للجهاز المصاب.

عند تشغيل البرمجية، تقوم بفك تشفير عنوان خادم التحكم والسيطرة (C2) من الذاكرة، ثم تتصل بالخادم التالي:

rushpapers[.]com

بعد إطلاق الاتصال، يدخل الخيط الرئيسي في وضع السكون حتى ينتهي خيط الاتصال من العمل، ويتم تنفيذ الاتصال عبر بروتوكول TLS الآمن.

قدرات البرمجية الخبيثة

حدد التحليل أن البرمجية عبارة عن Trojan للتحكم عن بعد (RAT) وتملك قدرات تشمل:

  • التقاط صور للشاشة
  • استعراض والتحكم في خدمات النظام
  • العمل كخادم ينتظر اتصالات من "عملاء" (المهاجمين)

تمتلك البرمجية بنية تعتمد على المقابس متعددة الخيوط (multi-threaded socket)، حيث يتم إنشاء خيط جديد لكل اتصال من جهة المهاجم، مما يسمح بتشغيل جلسات متزامنة وتفاعلات معقدة.

هذا التصميم يُمكّن المهاجم من تحويل الجهاز المصاب إلى منصة تحكم عن بعد لتنفيذ هجمات إضافية أو تنفيذ أوامر داخل النظام باسم الضحية.

الاستنتاج

تُظهر هذه الهجمة كيف يمكن للمهاجمين استغلال تقنيات غير تقليدية لإخفاء البرمجيات الخبيثة والتملص من أدوات الحماية، خاصة عند تعديل المكونات الأساسية لملفات النظام مثل رؤوس DOS وPE.

توصي Fortinet بضرورة مراقبة العمليات غير المعتادة على النظام، وتحليل تفريغات الذاكرة في حال الاشتباه بنشاط خبيث، خاصةً عند عدم توفر عينات مباشرة من الملفات.