Fortinet发现了新的恶意软件，它会破坏自己的标头以阻止取证分析、隐藏行为并与其C2服务器进行通信。

FortiGuard事件响应团队发布了一份针对新发现恶意软件的详细调查报告，该恶意软件在一台受感染的Windows计算机上悄悄运行了数周。该恶意软件与其他恶意软件的不同之处在于，它故意破坏自身的DOS和PE标头，旨在阻碍安全研究人员进行取证分析和重建工作。

尽管面临这一挑战，Fortinet团队还是成功获取了位于dllhost.exe进程(PID 8200)中的活动恶意软件进程的内存转储，以及受感染系统的完整33GB内存转储。

通过仔细复制受感染的环境，Fortinet的研究人员能够在受控环境中让被转储的恶意软件重新复活，从而观察其运行和通信模式。

由于缺少DOS和PE头文件，该恶意软件无法像普通Windows二进制文件那样被轻松加载并执行。研究团队必须手动识别恶意软件的入口点、分配内存，并解析受感染系统和测试环境中不同的API地址。经过反复调试、地址重定位和参数调整，他们最终能够在实验室环境中模拟该恶意软件的行为。

根据Fortinet在之前分享的博客文章，一旦该恶意软件投入运行，就会通过端口443使用TLS加密与rushpaperscom上的命令和控制(C2)服务器进行通信。

Fortinet分析师追踪到该恶意软件使用Windows API函数(例如SealMessage()和DecryptMessage()来处理加密流量)。他们还发现了一个额外的自定义加密层，该加密层在应用TLS之前会包裹特定的数据包，这进一步增加了流量检查的复杂性。

Fortinet的分析证实，该恶意软件以远程访问木马(RAT)的形式运行，为攻击者提供了多种强大的功能：

1. 屏幕截图：恶意软件会定期截取屏幕截图，将其压缩为JPEG，然后将其与活动窗口的标题一起发送到C2服务器。
2. 远程服务器功能：恶意软件设置了一个监听TCP端口，允许攻击者直接连接并发出命令或部署其他攻击。
3. 系统服务控制：通过与Windows服务控制管理器交互，恶意软件可以枚举、操纵并可能破坏受感染机器上的关键系统服务。

最初的感染依赖于批处理脚本和PowerShell来启动恶意软件，并将其嵌入到Windows进程中。运行后，恶意软件会从加密内存中获取C2服务器的域信息，建立安全连接，并开始窃取系统详细信息。

在流量分析期间，Fortinet捕获了解密的WebSocket请求和响应，揭示了恶意软件如何收集和报告系统信息，包括操作系统版本和架构。

值得一提的是，该恶意软件的加密方案使用随机生成的密钥对数据包数据进行基于异或（XOR）的加扰，然后再进行TLS加密。这一额外保护层增强了对简单网络检测的防护，迫使研究人员不得不依赖端点检查或内存级分析来捕获恶意活动。