Rehashed RATとDLL Hijacking
Fortinet から DLL ハイジャックを利用する Rehashed RAT に関するレポートが出ています。
自動起動として Run キーを利用します。Runキーに登録されるファイルには、幾つかパターンがあるようです。
Run キー内に Systemm.exe(50fcc5c822a6b4fc6f377ee9f9f37c7b) を登録し Autoruns で確認。
Google のコード署名がある正規のファイル。Image Path は一般的でない為、不審なファイルとして確認できる。
マルウェアは、EXE から読み込まれる Goopdate.dll となっており、Autoruns 上からは確認できない。
Systemm.exe が実行されると、同一フォルダ内に存在する Goopdate.dll ファイルがロードされる仕組みになっている。
Goopdate.dll を DLL Export Viewer で確認した結果。