PureRAT và chuỗi mối đe dọa mạng fileless trên Windows
Một chiến dịch mối đe dọa mạng tinh vi đã được phát hiện, sử dụng remote access trojan (RAT) tên PureRAT để âm thầm xâm nhập hệ thống Windows. Điểm đáng chú ý của chiến dịch này là mã độc được giấu trong các file ảnh PNG trông hoàn toàn bình thường, kết hợp kỹ thuật steganography và thực thi trong bộ nhớ.
Cách triển khai này thuộc nhóm fileless execution, giúp giảm dấu vết trên đĩa và làm khó quá trình phát hiện tấn công bằng các công cụ bảo mật truyền thống. Tham khảo thêm phân tích kỹ thuật từ Trellix tại: Trellix Research.
Chuỗi lây nhiễm của PureRAT
PureRAT được xây dựng theo mô hình đa giai đoạn. Mở đầu là một file .lnk giả mạo phím tắt Windows thông thường, khiến người dùng ít nghi ngờ khi mở.
Khi nạn nhân nhấp vào shortcut, một lệnh PowerShell bị ẩn sẽ chạy âm thầm mà không có tương tác rõ ràng từ người dùng. Lệnh này kết nối tới máy chủ từ xa và tải về một ảnh PNG chứa payload độc hại được nhúng bằng steganography.
Bên trong file ảnh là một file PE được mã hóa Base64. Về bề ngoài, file ảnh không có dấu hiệu bất thường, nhưng dữ liệu ẩn bên trong được giải mã và nạp trực tiếp vào bộ nhớ hệ thống.
Kỹ thuật ẩn mã và nạp payload
Phân tích cho thấy loader PowerShell ở giai đoạn hai được làm rối rất mạnh, có thêm dữ liệu rác ở đầu và cuối chuỗi để gây nhiễu quá trình nghiên cứu và né tránh phân tích tự động.
Cơ chế tải payload hoạt động theo các bước sau:
- Tải file PNG từ máy chủ của kẻ tấn công.
- Xác định vị trí bắt đầu và kết thúc của payload ẩn trong ảnh.
- Trích xuất dữ liệu, thay thế ký tự theo mẫu đã định.
- Đảo chuỗi, giải mã Base64 và chuyển sang mảng byte.
- Nạp byte vào bộ nhớ dưới dạng .NET assembly bằng System.Reflection.Assembly.Load().
System.Reflection.Assembly.Load(byteArray)Toàn bộ thao tác độc hại diễn ra trong bộ nhớ của tiến trình PowerShell, trong khi binary gốc trên đĩa vẫn nguyên vẹn. Điều này giúp PureRAT né tránh cơ chế quét file dựa trên dấu vết trên disk.
Phát hiện né sandbox và chiếm quyền thực thi
PureRAT kiểm tra môi trường VMware và QEMU để phát hiện sandbox hoặc môi trường phân tích ảo. Nếu phát hiện dấu hiệu phù hợp, mã độc sẽ tự dừng ngay lập tức.
Ở giai đoạn triển khai đầy đủ, PureRAT thu thập thông tin host fingerprinting, bao gồm:
- Phần mềm bảo mật đã cài đặt.
- Định danh phần cứng.
- Quyền của người dùng hiện tại.
Mã độc sau đó vượt qua User Account Control (UAC) thông qua cmstp.exe và sử dụng process hollowing vào tiến trình hợp lệ msbuild.exe để chạy mã độc bên trong một tiến trình Windows đáng tin cậy.
Kỹ thuật này làm tăng khả năng xâm nhập trái phép và che giấu hoạt động, vì tiến trình đích vẫn là file hợp lệ đã ký số trên hệ thống.
Cơ chế điều khiển từ xa và duy trì tồn tại
Sau khi hoạt động ổn định, PureRAT kết nối tới máy chủ command-and-control (C2) bằng một listener động để nhận lệnh mới. Từ đây, kẻ vận hành có thể triển khai các plugin phục vụ keylogging, giám sát hoặc remote desktop access.
Persistence được duy trì bằng một scheduled task lưu trong Windows registry, giúp mã độc tự thực thi lại khi hệ thống bị tấn công khởi động lại.
Chuỗi lây nhiễm fileless này cho thấy một rủi ro bảo mật đáng kể đối với môi trường Windows, đặc biệt khi các kiểm soát an ninh chỉ tập trung vào file trên đĩa mà thiếu giám sát hành vi trong bộ nhớ.
Kỹ thuật giải mã và thực thi .NET trong bộ nhớ
Thành phần .NET DLL nằm trong file GeneratedPy.png đóng vai trò loader tiếp theo, được bảo vệ bằng .NET Reactor để tăng độ phức tạp khi phân tích.
Hàm Main của loader gọi quy trình giải mã Triple DES, lấy key và initialization vector từ các chuỗi Base64 được nhúng trực tiếp trong file. Sau khi giải mã, dữ liệu tiếp tục được thực thi như một .NET assembly trong bộ nhớ, hoàn tất chuỗi delivery hoàn toàn fileless.
// Mô tả luồng thực thi
// 1. .lnk khởi chạy PowerShell ẩn
// 2. PowerShell tải PNG chứa payload
// 3. Trích xuất Base64-encoded PE
// 4. Giải mã và nạp assembly vào bộ nhớ
// 5. Process hollowing vào msbuild.exe
// 6. Kết nối C2 và duy trì persistenceChỉ dấu kỹ thuật cần lưu ý
Trong chiến dịch mối đe dọa mạng này, các chỉ dấu hành vi đáng chú ý gồm:
- File .lnk kích hoạt PowerShell ẩn.
- Tải file PNG từ máy chủ từ xa.
- Dữ liệu Base64 ẩn trong ảnh bằng steganography.
- Thực thi .NET assembly trong bộ nhớ bằng Assembly.Load().
- Kiểm tra VMware/QEMU để né sandbox.
- Process hollowing vào msbuild.exe.
- Tương tác với máy chủ C2 bằng listener động.
- Scheduled task và registry persistence.
Với kiểu chuỗi tấn công này, phát hiện tấn công cần dựa trên telemetry tiến trình, hành vi PowerShell, kết nối mạng bất thường và hoạt động nạp assembly trong bộ nhớ, thay vì chỉ kiểm tra file độc hại trên disk.
