RATطبق یافته‌های جدید[۱] Fortinet، محققان امنیت سایبری از یک حمله سایبری غیرمعمول که از بدافزارهایی با هدرهای خراب DOS و PE استفاده می‌کرد، پرده برداشتند.

هدرهای DOS (سیستم‌عامل دیسک) و PE (فایل اجرایی قابل‌حمل) بخش‌های ضروری[۲] یک فایل PE ویندوز[۳] هستند که اطلاعاتی در مورد فایل اجرایی ارائه می‌دهند.

درحالی‌که هدر DOS[4] فایل اجرایی را با MS-DOS سازگار می‌کند و به آن اجازه می‌دهد تا توسط سیستم‌عامل به‌عنوان یک فایل اجرایی معتبر شناخته شود، هدر PE حاوی فراداده‌ها و اطلاعات لازم برای بارگیری و اجرای برنامه توسط ویندوز است.

محققان شیائوپنگ ژانگ و جان سیمونز از تیم واکنش به حوادث فورتی‌گارد در گزارشی که با The Hacker News به اشتراک گذاشته شد، گفتند: «ما بدافزاری را کشف کردیم که چندین هفته در یک دستگاه آسیب‌دیده اجرا می‌شد. عامل تهدید مجموعه‌ای از اسکریپت‌ها و PowerShell را برای اجرای بدافزار در یک فرآیند ویندوز اجرا کرده بود.»

Fortinet اعلام کرد درحالی‌که قادر به استخراج خود بدافزار نبود، یک نسخه پشتیبان از فرآیند بدافزار در حال اجرا و یک نسخه پشتیبان از حافظه کامل دستگاه آسیب‌دیده را به دست آورد. در بیانیه‌ای که با این نشریه به اشتراک گذاشته شد، این شرکت اعلام کرد که این رفتار را در یک حادثه واحد شامل فعالیت باج‌افزار مشاهده کرده و تهدید قبل از اینکه هرگونه باج‌افزاری بتواند مستقر شود، خنثی شده است.

این شرکت افزود: “عامل تهدید از طریق زیرساخت دسترسی از راه دور دسترسی اولیه را به دست آورد و سعی کرد با استفاده از یک اسکریپت PowerShell که از طریق PsExec اجرا می‌شود، بدافزار را توزیع کند، اما خود اسکریپت در طول تحقیقات بازیابی نشد.”

این بدافزار که در یک فرآیند dllhost.exe اجرا می‌شود، یک فایل PE 64 بیتی با هدرهای DOS و PE خراب است که در تلاش برای به چالش کشیدن تلاش‌های تجزیه‌وتحلیل و بازسازی بار داده از حافظه است.

RAT

با وجود این موانع، این شرکت امنیت سایبری همچنین خاطرنشان کرد که توانسته است بدافزار رهاشده را در یک محیط محلی کنترل‌شده با تکثیر محیط سیستم آسیب‌دیده پس از “آزمایش‌ها، خطاها و رفع اشکالات مکرر” از هم جدا کند.

این بدافزار، پس از اجرا، اطلاعات دامنه فرمان و کنترل (C2) ذخیره‌شده در حافظه را رمزگشایی می‌کند و سپس در یک رشته تازه ایجاد شده با سرور (“rushpapers[.]com”) ارتباط برقرار می‌کند.

محققان گفتند: «پس از راه‌اندازی رشته، رشته اصلی وارد حالت خواب می‌شود تا زمانی که رشته ارتباطی اجرای خود را کامل کند. این بدافزار از طریق پروتکل TLS با سرور C2 ارتباط برقرار می‌کند.»

تجزیه‌وتحلیل بیشتر مشخص کرده است که این بدافزار یک تروجان دسترسی از راه دور (RAT) با قابلیت‌های ضبط تصاویر، شمارش و دست‌کاری سرویس‌های سیستم در میزبان آسیب‌دیده و حتی عمل به‌عنوان سرور برای انتظار اتصالات “کلاینت” ورودی است.

Fortinet گفت: «این بدافزار یک معماری سوکت چند رشته‌ای را پیاده‌سازی می‌کند: هر بار که یک کلاینت (مهاجم) جدید متصل می‌شود، بدافزار یک رشته جدید برای مدیریت ارتباط ایجاد می‌کند. این طراحی امکان جلسات هم‌زمان را فراهم می‌کند و از تعاملات پیچیده‌تر پشتیبانی می‌کند.»

«با عملکرد در این حالت، بدافزار به‌طور مؤثر سیستم آسیب‌دیده را به یک پلتفرم دسترسی از راه دور تبدیل می‌کند و به مهاجم اجازه می‌دهد حملات بیشتری را آغاز کند یا اقدامات مختلفی را از طرف قربانی انجام دهد.»

  منابع

[۱] https://www.fortinet.com/blog/threat-research/deep-dive-into-a-dumped-malware-without-a-pe-header

[۲] https://offwhitesecurity.dev/malware-development/portable-executable-pe/dos-header

[۳] https://learn.microsoft.com/en-us/windows/win32/debug/pe-format

[۴] https://learn.microsoft.com/en-us/archive/msdn-magazine/2002/february/inside-windows-win32-portable-executable-file-format-in-detail

[۵] https://thehackernews.com/2025/05/new-windows-rat-evades-detection-for.html