新型 Windows 远控木马利用损坏头文件逃避检测达数周

异常攻击手法曝光

根据Fortinet最新研究 ，新型网络安全专家发现一起利用DOS（磁盘操作系统）和PE（可移植可执行）头文件损坏的远用损恶意软件发动的异常网络攻击。这两种头文件是控木Windows PE文件的核心组成部分
，前者确保可执行文件与MS-DOS向后兼容，马利后者则包含Windows加载执行程序所需的建站模板文件元数据。

FortiGuard事件响应团队研究员张晓鹏和John Simmons向《黑客新闻》透露："我们在受感染机器上发现了已运行数周的逃避恶意软件 ，攻击者通过批量脚本和PowerShell在Windows进程中执行该恶意程序。检测"虽然未能提取恶意样本
，达数但研究人员获取了运行中恶意进程的新型内存转储和整机内存镜像
，目前尚不清楚其传播途径和影响范围。服务器租用远用损

反分析技术剖析

该恶意软件以dllhost.exe进程运行 ，控木是马利一个64位PE文件，其DOS和PE头文件遭到故意破坏以增加分析难度 ，文件阻碍从内存重建有效载荷。逃避Fortinet表示 ，检测经过"多次试验
、纠错和反复修复"后  ，亿华云最终在模拟受感染环境的受控本地设置中成功解析了转储样本
。

多线程C2通信机制

研究显示，该恶意程序执行后会解密内存中存储的命令控制（C2）域名信息，随后与新发现的威胁域名"rushpapers[.]com"建立连接。研究人员指出："主线程启动通信线程后即进入休眠状态，云计算直至通信线程完成执行，所有C2通信均通过TLS协议加密传输 。"

完整RAT功能揭秘

深入分析确认这是一款功能完备的远程访问木马（RAT），具备屏幕截图捕获 、受感染主机系统服务枚举与操控等能力，甚至可作为服务器等待"客户端"连接。模板下载Fortinet强调："其采用多线程套接字架构——每当新客户端（攻击者）连接时 ，就会创建专属线程处理通信，这种设计既支持并发会话 ，又能实现复杂交互。"通过这种运作模式 ，受感染系统实质上被转化为远程控制平台 ，攻击者可借此实施后续攻击或代受害者执行任意操作 。

源码下载