摘要:根据Fortinet最新研究,网络安全专家发现一起利用DOS(磁盘操作系统)和PE(可移植可执行)头文件损坏的恶意软件发动的异常网络攻击。这两种头文件是Windows PE文件的核心组成部分,前者确保可执行文件与MS-DOS向后兼容,后者则包含Windows加
Part01
异常攻击手法曝光
根据Fortinet最新研究,网络安全专家发现一起利用DOS(磁盘操作系统)和PE(可移植可执行)头文件损坏的恶意软件发动的异常网络攻击。这两种头文件是Windows PE文件的核心组成部分,前者确保可执行文件与MS-DOS向后兼容,后者则包含Windows加载执行程序所需的元数据。FortiGuard事件响应团队研究员张晓鹏和John Simmons向《黑客新闻》透露:"我们在受感染机器上发现了已运行数周的恶意软件,攻击者通过批量脚本和PowerShell在Windows进程中执行该恶意程序。"虽然未能提取恶意样本,但研究人员获取了运行中恶意进程的内存转储和整机内存镜像,目前尚不清楚其传播途径和影响范围。Part02反分析技术剖析
该恶意软件以dllhost.exe进程运行,是一个64位PE文件,其DOS和PE头文件遭到故意破坏以增加分析难度,阻碍从内存重建有效载荷。Fortinet表示,经过"多次试验、纠错和反复修复"后,最终在模拟受感染环境的受控本地设置中成功解析了转储样本。多线程C2通信机制
研究显示,该恶意程序执行后会解密内存中存储的命令控制(C2)域名信息,随后与新发现的威胁域名"rushpapers[.]com"建立连接。研究人员指出:"主线程启动通信线程后即进入休眠状态,直至通信线程完成执行,所有C2通信均通过TLS协议加密传输。"Part04完整RAT功能揭秘
深入分析确认这是一款功能完备的远程访问木马(RAT),具备屏幕截图捕获、受感染主机系统服务枚举与操控等能力,甚至可作为服务器等待"客户端"连接。Fortinet强调:"其采用多线程套接字架构——每当新客户端(攻击者)连接时,就会创建专属线程处理通信,这种设计既支持并发会话,又能实现复杂交互。"通过这种运作模式,受感染系统实质上被转化为远程控制平台,攻击者可借此实施后续攻击或代受害者执行任意操作。参考来源:
New Windows RAT Evades Detection for Weeks Using Corrupted DOS and PE Headershttps://thehackernews.com/2025/05/new-windows-rat-evades-detection-for.html推荐阅读
来源:FreeBuf
