ValleyRAT是一种针对Windows系统的复杂多阶段远程访问木马,主要瞄准中文用户和组织机构。该恶意软件最早于2023年初被发现,采用精心设计的感染链,通过下载器、加载器、注入器和最终载荷等多个组件逐步实施攻击,给安全团队的检测和清除工作带来极大挑战。
攻击手法与传播途径
Tenable安全研究人员近期在OpenAI的ChatGPT模型中发现了七项关键漏洞,可能导致数亿用户遭受高度复杂的零点击攻击。攻击者可利用这些漏洞窃取敏感用户数据并入侵系统,且无需任何直接用户交互。这一发现对现代大语言模型的安全基础提出了严峻质疑。
安全机制与内存系统的双重突破
ValleyRAT背后的威胁行为者通过钓鱼攻击和木马化安装程序分发恶意软件,利用中国商业环境中常见的信任关系实施攻击。该恶意软件的独特之处在于其地理触发机制——在执行前会查询Windows注册表中是否存在特定应用程序。它会专门检查微信(HKCU\Software\Tencent\WeChat)和钉钉(HKCU\Software\DingTalk)的注册表项,如果两者都不存在就会立即终止运行。
Picussecurity安全分析师发现该恶意软件具备高级规避能力,其绕过系统防御的手段十分激进。ValleyRAT采用多种用户账户控制(UAC)绕过技术,针对Fodhelper.exe和事件查看器等Windows可执行文件,同时操纵安全令牌以获取SeDebugPrivilege权限。这一权限使恶意软件能够与更高完整性级别的进程交互,从而获得系统级控制权。
反分析与虚拟环境检测
恶意软件开发者为逃避虚拟环境中的检测实施了全面的反分析措施。ValleyRAT会执行CPUID指令检查,验证是否为真实的Intel或AMD处理器,检查虚拟机环境通常无法正确复制的厂商字符串。此外,它还会枚举活动窗口,搜索包括Wireshark、Fiddler等安全研究工具在内的分析软件。
感染机制与载荷投放
ValleyRAT的加载器组件使用包含3DES加密资源的.NET可执行文件,这些资源会在内存中完全解密并执行。该恶意软件利用微软官方构建引擎二进制文件MSBuild.exe作为执行宿主,通过进程伪装技术实现攻击。这种"就地取材二进制文件"(LOLBin)技术使ValleyRAT能够将恶意活动与正常系统操作混为一体。
其加密实现采用TripleDES解密算法,密钥通过BigEndianUnicode编码的MD5哈希值派生。恶意软件还使用.Replace方法、Strings.StrReverse函数和Unicode转义序列构建混淆字符串,以逃避静态分析。
参考来源:
Multi-Staged ValleyRAT Uses WeChat and DingTalk to Attack Windows Users
https://cybersecuritynews.com/multi-staged-valleyrat-uses-wechat/
电台讨论
