Fejléc nélküli malware elemzése
A FortiGuard Labs elemzése egy olyan rosszindulatú programot vizsgál, amelyet memóriadump formájában sikerült rögzíteni, azonban a dumpolt állományból hiányzott a Portable Executable (PE) fejléc. Ez a hiány megnehezíti a hagyományos elemzési technikák alkalmazását, mivel a PE fejléc nélkül a fájl formailag nem azonosítható futtathatóként, így például statikus elemző eszközök számára felismerhetetlen marad. A FortiGuard Incidens Reagáló Csapata egy hetekig aktív kompromittált rendszerből szerezte meg a mintát. Az eredeti futtatható állományt nem sikerült begyűjteni, viszont a futó folyamat memóriadumpja, valamint a teljes, 33 GB méretű memóriadump rendelkezésre állt. A rosszindulatú kód a dllhost.exe folyamaton belül futott, és 64 bites PE állomány volt, amelynek a DOS és PE fejléc szekciói vagy sérültek, vagy nullákkal lettek felülírva.
A vizsgálat során az elemzők manuálisan rekonstruálták a futtathatóságot egy helyi tesztkörnyezetben. Mivel a belépési pontot automatikusan nem lehetett meghatározni, az IDA Pro disassembler segítségével manuálisan azonosították azt. Ezt követően VirtualAlloc segítségével memóriafoglalást hajtottak végre a dllhost.exe folyamatban, amelybe bemásolták a dumpolt kódot. Az import táblázat helyreállítása manuális munkát igényelt, mivel a rosszindulatú program több Windows API függvényt is használt, amelyek pontos memóriacímei rendszerenként változhatnak, ezért ezek címét az aktuális környezethez kellett igazítani. A globális változók, regiszterek és a verem megfelelő inicializálása szintén szükséges volt a kód sikeres futtatásához.
A program működés közben dekódolta a parancs- és vezérlőszerver (C2) domain nevét, amely rushpapers.com volt, és a kommunikációt 443-as porton TLS protokollon keresztül bonyolította. A kapcsolódás során rendszerinformációkat gyűjtött, például az operációs rendszer verzióját, majd ezeket titkosított formában továbbította a távoli szerver felé. Az eset rámutat a fejlett támadók azon képességére, hogy memóriamanipulációs technikákkal próbálják megnehezíteni a forenzikus elemzést, valamint hangsúlyozza a memóriaalapú elemzések jelentőségét a modern fenyegetések elleni védekezésben.
