• 样本名：finish.exe

• SHA1：22642268e52f42cc0219eeaf43b22fd5508bfc7b

• 文件类型：EXE

• 文件大小：12.73 MB

• 样本家族：ValleyRAT

• 报告链接：

  https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=3d770ad59348b37fe9ba56cacd290ecd&sk=39336290

该样本使用微信图标作为伪装图标，误导用户认为是微信安装包，如图1所示，沙箱报告的样本详细信息部分展示了图标提取结果。

第一阶段

该样本使用PyInstaller打包，其打包Python版本为Python 3.8.0，反编译后得到混淆的Python代码，如图2所示，这是样本的第一阶段Payload。

人工反混淆耗时费力，我们使用TQ-GPT对代码行为进行解读，总结该阶段Payload的关键行为有以下几点。

1. 环境检测：

• 使用IsDebuggerPresent检测调试器

• 检查系统语言是否为中文（语言代码2052）

• 通过WMI检测虚拟机/容器环境（关键词virtual/vmware等）

• 检测安全软件进程（如AcrylicService.exe）

2. 持久化

• 创建计划任务，伪装成日志归档任务（每月1日2:00AM执行）

• 使用系统服务名称svchost.exe进行伪装

3. 隐蔽执行

• AES+Base64双重加密的Payload动态解密执行

• 将自身复制到C:\ProgramData\系统目录

• 创建伪造的svchost.exe程序

• 使用subprocess.Popen启动新进程后自删除原始文件

4. 反取证能力

• 重复三次执行删除原始文件的命令（del /F /Q）确保清除痕迹

• 异步延迟操作（asyncio.sleep）规避行为监控

5. 混淆技术

• 所有变量名使用随机字符串混淆

• 关键函数通过exec动态执行解密后的代码

在报告的动态行为类目部分可以找到与上述关键行为对应的记录，如下所示：

• 调用WMI获取系统信息，如图3所示：
  

  图3 调用WMI获取系统信息

• 创建伪造的svchost.exe程序，如图4所示：
  

  图4 创建伪造的svchost.exe

• 写入计划任务，如图5所示：
  

  图5 写入计划任务

• 重复三次执行删除原始文件的命令（del /F /Q）确保清除痕迹，如图6所示：

图6 使用cmd命令删除原始文件

第二阶段

样本的二阶段Payload使用Base64编码，并调用exec执行。通过对其解密，获得了第二阶段Python代码，如图7所示。

图7 二阶段Payload

上述代码逻辑比较清晰，依次通过AES → XOR → Base64解密Shellcode，分配内存后将Shellcode拷贝至内存，最后执行Shellcode，这是标准的Shellcode执行流程。

在报告动态行为部分可以看到沙箱检测到Shellcode执行行为，如图8所示，利用的回调函数 ffi_prep_go_closure 是一种涉及外部函数接口（FFI）的低级函数，通常与Libffi库相关，常用于Python、Go等语言调用C接口的场景。

第三阶段

通过对加密Shellcode进行解密，拿到第三阶段Payload，如图9所示：

深入分析此Shellcode，发现它实际是ValleyRAT远控程序的载荷，相关配置信息数据如图10所示。

使用解密脚本提取到以下配置信息，显示样本连接的C2地址是45.204.201.140[:]6666。

{    "c2": "45.204.201.140:6666",    "dd": 1,    "cl": 1,    "fz": "默认",    "bb": "1.0",    "bz": "2025. 3.14",    "jp": 0,    "bh": 0,    "ll": 0,    "dl": 1,    "sh": 0,    "kl": 0,    "bd": 0}

动态行为部分也提取到了样本与45.204.201.140[:]6666建立连接的网络行为，如图11所示，连接的C2地址与提取的配置信息一致。

在流量数据中可以看到样本与C2服务器的通信内容如图12所示，反复出现的6666与其他银狐样本行为相似。

总结近期活跃的APT样本，发现该样本所使用的ValleyRAT最近被银狐组织广泛使用，该样本的通信流量特征（流量中反复出现6666）和采用二段式上线等行为，与多个已定性银狐样本高度相似，如图13所示，可确定该样本由银狐组织投递。

此外，样本C2地址IP归属于中国香港，且该地址并未关联更多样本，推测此次攻击是针对特定企业的定向钓鱼攻击。

恶意文件（SHA1）

22642268e52f42cc0219eeaf43b22fd5508bfc7b        样本哈希2012b9c63466fa55a1b17c3bf9dbb1621efb77bf        ValleyRAT载荷哈希

恶意IOC

45.204.201.140[:]6666                           ValleyRAT C2地址

报告链接

分析报告：

https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=3d770ad59348b37fe9ba56cacd290ecd&sk=39336290

截至发稿时，样本C2地址仍存活，尚未被主流TI平台标记，请务必注意防范。