PureRAT 恶意软件通过PNG隐藏有效载荷逃避检测

执行摘要

最近记录的一次恶意软件活动正在部署一个名为PureRAT的远程访问木马（RAT），使用复杂的逃避技术。攻击者将可移植可执行文件（PE）有效载荷嵌入看似无害的PNG图像文件中，并直接在系统内存中执行它们，这种方法旨在避免被传统的文件扫描安全工具检测到。根据CyberSecurity News的分析，这种无文件执行在受感染的Windows系统上留下的取证痕迹最小。

技术分析

该活动的核心创新是使用PNG文件作为恶意代码的载体。威胁行为者将一个完整的PE文件——PureRAT有效载荷——嵌入PNG的数据结构中。源材料中没有详细说明嵌入的确切方法，但这类技术通常涉及将可执行文件附加到图像文件的末尾，或将其隐秘地隐藏在像素数据中。一个单独的加载组件，可能通过另一个向量传递，负责提取和执行这个隐藏的有效载荷。至关重要的是，执行是无文件的；PE从PNG中读取，直接加载到系统的内存（RAM）中，并在从未被写入磁盘作为单独的可执行文件的情况下运行。这绕过了监控可疑文件创建的安全解决方案。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

主要的TTP是通过无文件执行（T1027）和在图像文件中隐藏数据（T1027.003）来逃避防御。通过在PNG内存储最终有效载荷，攻击者将交付机制与恶意软件本身分开。执行链可能涉及一个初始的dropper，该dropper获取或访问PNG，提取嵌入的二进制文件，并使用Windows API调用来分配内存和执行代码。这与利用本地资源（LOLBin）技术一致，其中合法的系统功能被滥用来运行恶意代码。

威胁行为者背景

源材料没有将PureRAT活动归因于已知的威胁行为者群体。使用定制的、复杂的逃避战术表明操作者能力较强，但他们的身份、动机和具体目标仍然不清楚。需要进一步调查以确定这是一个广泛的网络犯罪行动还是一个更有针对性的攻击。

缓解措施与建议

攻击的无文件性质强调了基于签名的防病毒软件的局限性。防御者应优先考虑能够识别内存中恶意活动的行为检测工具，例如尝试从非标准进程分配和执行代码的尝试。应用程序允许列表可以防止未经授权的程序运行。网络监控异常的出站连接来自意外的进程也可能有助于识别PureRAT感染，因为恶意软件建立了远程访问通道。确保端点检测和响应（EDR）解决方案正确配置以监控内存中执行至关重要。