高级 ValleyRAT 攻击活动袭击中国 Windows 用户

一项新的 ValleyRAT 攻击活动已针对中国用户展开。FortiGuard 实验室发现，该攻击活动影响 Windows 用户，使攻击者能够控制受感染的机器。

ValleyRAT 恶意软件及其目标

ValleyRAT 主要针对电子商务、金融、销售和管理类企业。该恶意软件使用多个阶段和技术来监视和控制受害者，并使用任意和特定的插件来造成额外损害。

攻击链

FortiGuard 观察到的活动使用重型 shellcode 直接在内存中执行其组件，从而大大减少了其对受害者系统占用的空间。

ValleyRAT 采取的策略包括使用合法应用程序（包括 Microsoft Office）的图标，使恶意文件看起来无害。文件名也被设计成看起来像财务文件。

一旦执行，ValleyRAT 就会创建一个名为 TEST 的互斥锁，以确保单个实例运行。然后，它会更改特定的注册表项，以存储其命令和控制 (C2) 服务器的 IP 和端口，从而允许其与攻击者的服务器进行通信。

恶意软件添加的计划任务

ValleyRAT会终止包含以下可执行文件名的安全软件进程：

1. 360Sd.exe
2. 360leakfixer.exe
3. safesvr.exe
4. MultiTip.exe
5. ZhuDongFangYu.exe
6. kscan.exe
7. kwsprotect64.exe
8. kxescore.exe
9. HipsMain.exe
10. HipsDaemon.exe
11. QMDL.exe
12. QMPersonalCenter.exe
13. QQPCPatch.exe
14. QQPCRealTimeSpeedup.exe
15. QQPCRTP.exe
16. QQRepair.exe

修改注册表，禁用安全软件的自动启动。

该恶意软件进一步尝试通过确定其是否在虚拟机（VM）中运行来逃避检测，如果是，它就会终止其进程。

高级逃避和执行技巧

ValleyRAT 采用休眠混淆技术，即修改恶意代码所在分配内存的权限，以避免被内存扫描器检测到。它还使用 XOR 操作对 shellcode 进行编码，增加了一层复杂性，进一步挑战了基于模式的安全签名。

此外，该恶意软件依靠反射式 DLL 加载直接从内存运行其组件。初始化后，该恶意软件使用 AES-256 算法解密 shellcode，然后通过睡眠混淆例程执行此代码。ValleyRAT 还利用 API 哈希来混淆其使用的 API 名称，使检测过程复杂化。

与银狐的联系

ValleyRAT 是 Silver Fox 威胁组织的后门程序，功能齐全，能够远程控制受感染的工作站。它可以截取屏幕截图、执行文件并在受害系统上加载其他插件。

研究人员表示：“该恶意软件涉及分不同阶段加载的多个组件，主要使用 shellcode 直接在内存中执行，从而大大减少其在系统中的文件痕迹。”

该恶意软件监视用户活动和提供额外恶意插件的能力凸显了其对企业安全的重大威胁。

FortiGuard 表示：“该恶意软件涉及分不同阶段加载的多个组件，主要使用 shellcode 直接在内存中执行，从而大大减少其在系统中的文件痕迹。”

“一旦恶意软件在系统中站稳脚跟，它就会支持能够监视受害者活动并提供任意插件的命令，以进一步实现攻击者的意图。”

为了应对此类威胁，组织应保持防病毒和入侵防御系统 (IPS) 签名为最新版本，并确保其员工接受安全意识培训。

 

---

转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/dm8CeomgXslU9ILAg_rwfg

封面来源于网络，如有侵权请联系删除