異常攻擊手法曝光

根據Fortinet最新研究，網絡安全專家發現一起利用DOS（磁盤操作系統）和PE（可移植可執行）頭文件損壞的惡意軟件發動的異常網絡攻擊。這兩種頭文件是Windows PE文件的核心組成部分，前者確保可執行文件與MS-DOS向后兼容，后者則包含Windows加載執行程序所需的元數據。

FortiGuard事件響應團隊研究員張曉鵬和John Simmons向《黑客新聞》透露："我們在受感染機器上發現了已運行數周的惡意軟件，攻擊者通過批量腳本和PowerShell在Windows進程中執行該惡意程序。"雖然未能提取惡意樣本，但研究人員獲取了運行中惡意進程的內存轉儲和整機內存鏡像，目前尚不清楚其傳播途徑和影響范圍。

反分析技術剖析

該惡意軟件以dllhost.exe進程運行，是一個64位PE文件，其DOS和PE頭文件遭到故意破壞以增加分析難度，阻礙從內存重建有效載荷。Fortinet表示，經過"多次試驗、糾錯和反復修復"后，最終在模擬受感染環境的受控本地設置中成功解析了轉儲樣本。

多線程C2通信機制

研究顯示，該惡意程序執行后會解密內存中存儲的命令控制（C2）域名信息，隨后與新發現的威脅域名"rushpapers[.]com"建立連接。研究人員指出："主線程啟動通信線程后即進入休眠狀態，直至通信線程完成執行，所有C2通信均通過TLS協議加密傳輸。"

完整RAT功能揭秘

深入分析確認這是一款功能完備的遠程訪問木馬（RAT），具備屏幕截圖捕獲、受感染主機系統服務枚舉與操控等能力，甚至可作為服務器等待"客戶端"連接。Fortinet強調："其采用多線程套接字架構——每當新客戶端（攻擊者）連接時，就會創建專屬線程處理通信，這種設計既支持并發會話，又能實現復雜交互。"通過這種運作模式，受感染系統實質上被轉化為遠程控制平臺，攻擊者可借此實施后續攻擊或代受害者執行任意操作。