Аналитики FortiGuard вскрыли скрытый RAT через дамп памяти без заголовков PE

Ключевые сложности

Маркер повредил заголовки DOS и PE, затруднив анализ. Для запуска в среде отладчика пришлось:

1. Вручную найти точку входа (инструкция sub rsp, 28h по адресу 0x1C3EEFEE0A8).
2. Выделить память под дамп по оригинальному адресу (0x1C3EEB70000).
3. Восстановить таблицу импорта: пересчитать 257 адресов API из 16 библиотек (включая kernel32.dll, ws2_32.dll). Например, адрес GetObjectW из GDI32.dll заменили с 0x7FFD74224630 на локальный 0x07FFFF77CB870.
4. Загрузить отсутствующие модули через LoadLibrary().
5. Скопировать глобальные данные размером 0x5A000 байт из дампа.
6. Выровнять стек (RSP) для предотвращения сбоев.

Функционал RAT

После запуска вредонос расшифровал домен C2 - rushpapers.com:443. Установив TLS-соединение, он:

• Передавал данные системы через кастомное шифрование (ключ XOR + TLS);
• Делал скриншоты экрана с захватом активного окна через GdiplusStartup(), BitBlt();
• Работал как сервер, открывая порты по команде C2;
• Управлял службами Windows через API Service Control Manager.

Особенности коммуникации

Вредонос использовал двойное шифрование: сначала применял XOR к данным (например, к строке OS: Windows 10 / 64-bit), затем упаковывал в TLS через SealMessage(). Для handshake имитировал websocket-запрос:

Риски

RAT способен превращать системы в прокси, похищать конфиденциальные данные и скрытно контролировать службы. Анализ показал: даже без исходного файла и с поврежденными заголовками угрозу можно исследовать через дампы памяти.

Рекомендации

Необходимо мониторить аномальную активность dllhost.exe, неожиданные TLS-подключения к неизвестным доменам и вызовы SealMessage()/DecryptMessage(). Для критичных систем актуальны регулярные дампы памяти и инструменты вроде Volatility для оперативного анализа.

Domain Port Combinations

• rushpapers.com:443

URLs

• https://rushpapers.com/ws/

SHA256

• f3eb67b8ddac2732bb8dcc07c0b7bc307f618a0a684520a04cfc817d8d0947b9