RAT من Millenium يخفي آثاره في بناء C++ أصلي وC2 عبر Telegram
تجمع أحدث نسخة من البرمجية الخبيثة بين إعدادات مضمنة في الموارد مع إخفاء باستخدام Base64 وXOR، ما يجعل لوحة التحكم أصعب في الاكتشاف من دون تحليل ثنائي أعمق.
النسخة 4.* من Millenium RAT تذكير بأن البرمجيات الخبيثة الحديثة لا تحتاج إلى حيل لامعة كي تصبح أصعب في التحليل. فمن خلال الانتقال من .NET إلى C++ أصلي، ودمج التهيئة داخل مورد Windows RCDATA، وإخفاء الإعدادات المرتبطة بـ Telegram باستخدام Base64 مع XOR، يقلل هذا البناء كثيراً من الاختصارات التي يعتمد عليها المدافعون عادةً أثناء الفحص الأولي.
هذا التحول العملي دقيق لكنه مهم: فبدلاً من ترك آثار واضحة للرمز المُدار، تبدو العينة الآن أقرب إلى ملف Windows ثنائي أصلي تقليدي. وهذا يغير سير عمل الهندسة العكسية ويدفع المحللين إلى استخراج الموارد وفك الترميز والتتبع أثناء التشغيل قبل أن تصبح تفاصيل القيادة والسيطرة الحقيقية مرئية.
حقائق سريعة
- أُعيد بناء النسخة 4.* من Millenium RAT من .NET إلى C++ أصلي.
- تُخزن تهيئته داخل مورد RCDATA، وليس في سلاسل نصية واضحة.
- تُخفى الإعدادات المرتبطة بـ Telegram باستخدام ترميز Base64 وإخفاء XOR.
- تعتمد قناة التحكم على Telegram، مما يقلل الحاجة إلى بنية تحتية يملكها المهاجم.
- يرتبط جزء من التحليل على الأقل بمجموعة عينات وبيانات قياس عن بعد راجعتها Group-IB.
لماذا يهم هذا البناء
غالباً ما تمنح برمجيات .NET الخبيثة المدافعين بداية مفيدة لأن الملفات الثنائية المُدارة تحمل بيانات وصف CLR ويمكن أن تكشف أسماءً وسلاسل ونمطاً أسهل في الاستخراج. أما C++ الأصلي فيزيل كثيراً من هذه السهولة. والنتيجة ليست خفاءً سحرياً، لكنها مسار أنظف للمشغل للاختباء داخل صيغة تنفيذية تقليدية أكثر.
اختيار RCDATA لا يقل دلالة. إذ يمكن لملفات Windows التنفيذية تخزين كتل ثنائية عشوائية هناك، ما يعني أن ملف التهيئة يمكن أن يوجد داخل الملف الثنائي من دون أن يبدو كأنه ملف تهيئة. وبمجرد العثور على هذه الكتلة، يصبح فك ترميز Base64 ثم عكس XOR هو الخطوة التالية. هذا ليس تشفيراً قوياً، لكنه كافٍ لإبطاء التحليل الساكن العادي وإجبار المدافعين على إعادة بناء سلسلة الفك.
تضيف القيادة والسيطرة المعتمدة على Telegram طبقة أخرى من الراحة التشغيلية. فخدمة عامة يمكن أن تكون وجهة المرور، ما يعني أن على المحققين قد يضطروا إلى ربط سلوك العملية وأنماط الطلبات الشبيهة بواجهات API والرموز أو المعرفات المضمنة بدلاً من مطاردة اسم نطاق مخصص. ومن منظور دفاعي، ينقل هذا المشكلة من قوائم الحظر الشبكية البسيطة إلى فحص نقطة النهاية والمحتوى.
حتى وقت كتابة هذا التقرير، لم يكن النطاق الكامل للعينات المتأثرة والحقول الدقيقة للتهيئة الموجودة في كل بناء قد تحدد بالكامل. المعلومات المتاحة تدعم تحليلاً للمخاطر، لا ادعاءً شاملاً بشأن كل المتغيرات أو مدى انتشارها التشغيلي الكامل.
ما الذي ينبغي للمدافعين استخلاصه
هذه دراسة حالة جيدة في كيف يمكن لاختيارات هندسية صغيرة أن تعيد تشكيل الاكتشاف. فإعادة البناء إلى ملف أصلي تقلل رؤية بيئة التشغيل المُدارة. والمورد المضمن يخفي التهيئة عن عمليات البحث السريع عن السلاسل. كما يضيف Base64 مع XOR سلسلة فك قد تفوتها كثير من أنظمة الفرز الآلي ما لم تُبنَ لفحص الموارد وتطبيع طبقات الإخفاء.
بالنسبة للصيادين، فإن أفضل نقطة ارتكاز ليست اسم عائلة البرمجية الخبيثة وحده، بل مزيج نوع الملف وتخطيط الموارد والسلوك المرتبط بـ Telegram. عملياً، يعني ذلك إعطاء الأولوية لاستخراج موارد PE، ومراقبة الملفات الثنائية الأصلية غير المعتادة التي تتعامل مع خدمات Telegram، والتحقق من أي معرفات مسترجعة مقابل العينة قبل استخلاص الاستنتاجات.
الخلاصة
لا يعيد أحدث بناء من Millenium RAT اختراع البرمجيات الخبيثة، لكنه يوضح كيف يمكن للمهاجمين إزالة الأدلة السهلة تدريجياً. والدرس الأوسع بسيط: عندما تُنقل السيطرة إلى خدمات مشروعة وتُدفن التهيئة داخل الملف الثنائي نفسه، يحتاج المدافعون إلى التفكير أقل كالباحثين عن السلاسل وأكثر كمحللي ملفات ثنائية.
WIKICROOK
- RAT: حصان طروادة للوصول عن بُعد، برمجية خبيثة مصممة للسماح للمشغل بالتحكم في نظام مصاب.
- RCDATA: نوع مورد في Windows يستخدم لتخزين بيانات ثنائية عشوائية داخل ملف تنفيذي.
- Base64: نظام ترميز قابل للعكس يُستخدم عادة لتمثيل البيانات الثنائية كنص.
- إخفاء XOR: طريقة تمويه قابلة للعكس تُستخدم غالباً لإخفاء البيانات بدلاً من تشفيرها فعلاً.
- Telegram Bot API: واجهة موثقة يمكن للروبوتات استخدامها لإرسال الرسائل واستقبالها عبر Telegram.




