PureRAT、PNG内ペイロードで検知回避

PureRATのファイルレス実行と配布手法

PureRATキャンペーンでは、PNG画像内にPEペイロードを埋め込み、メモリ上で直接実行する手法が確認されている。これにより、ディスク上に痕跡を残さない実行構成となっている。

攻撃は武器化された.LNKファイルを起点とし、外部サーバーから難読化されたVBSファイルを取得して実行する流れとなっている。その後、ペイロードが展開され、不正な処理が開始される。

メモリ実行と持続化手法の構成

PureRATでは、PowerShellベースのローダーによりペイロードがディスクを介さずメモリ上で実行される構成が確認されている。あわせて、WMIを利用した追加ペイロードの生成が行われる。

持続化の手段としてはタスクスケジューラが利用され、定期的な実行が設定されるほか、UAC回避やプロセスホローイングといった手法も組み合わされている。

さらに、特定のMACアドレスや仮想環境の指標を検出することで、解析環境を回避する挙動がみられる。

難読化と検知回避の挙動

PureRATは.NET Reactorで保護されたペイロードを用い、解析を困難にする構成が確認されている。また、正規プロセスのメモリを書き換えることで、署名や評判ベースの検知を回避する挙動がみられる。

これにより、メモリ上に展開される不審なアセンブリや通信挙動の把握が重要となる。特にイメージファイルを装ったトラフィックや、通常と異なるプロセス動作の監視が求められる。