.valleyRAT恶意软件正在攻击中国用户

.valleyRAT是一种多阶段恶意软件，支持多种技术来监控和控制受感染设备。恶意代码也被用于在感染系统上部署任意插件。valleyRAT恶意软件的一个值得注意的特点是它大量使用shellcode来在内存中直接执行其许多组件。FortiGuard实验室研究人员警告称，valleyRAT恶意软件正在进行一个旨在攻击中国用户的长期活动。

.valleyRAT恶意软件攻击链的第一阶段中，恶意软件使用合法应用程序的图标和与财务文件相关的文件名诱骗用户，例如“Industrial and Commercial Annual Report Master.exe”和“View Details.exe”。它还创建了一个名为“dome.doc”的空文件，并尝试使用 Microsoft Word 文档的默认应用程序打开它，以使欺骗更加 убедителен。如果没有设置默认应用程序，它将显示错误消息。

在执行时，恶意代码创建了一个名为“TEST”的 Mutex，以确保系统上只运行一个实例。然后，它删除了可能留下的前一个安装的恶意软件的特定注册项，并将 C2 服务器的 IP 地址和端口存储在注册项 HKEY_CURRENT_USERSoftwareConsoleIpDateInfo 中。

恶意代码检查是否在虚拟机中运行，通过枚举所有服务并查找与 “VMWARE Tools”、“VMWare 共享”、“Virtual Machine” 和 “VirtualBox Guest”相关的字符串在服务显示名称中。如果检测到这些字符串，它将显示一个空白错误消息框并停止执行。

在执行 shellcode 之前，这个恶意软件使用了一种称为睡眠混淆的技术来绕过内存扫描。这个技术涉及添加回调函数到 Sleep 或类似 API，以修改恶意代码所在的内存分配的权限，以便避免扫描器认为是可疑的。

valleyRAT 使用 shellcode 块直接在内存中执行其组件，类似于 GitHub 上发现的 shellcode，相关的OLDER恶意软件campaigns被Fortinet检测为 W64/Agent.CCF！tr。

一旦初始化，恶意软件使用 AES-256 加密算法和硬编码值派生出的密钥来解密 shellcode，接着对其进行 XOR 运算以揭露最终的 shellcode。然后，它使用睡眠routine来混淆执行并通过 EnumSystemLocalesA API 执行 shellcode。

shellcode 使用 BKDR 哈希算法来混淆 API 名称，并遍历 Process Environment Block（PEB）以查找目标 API。然后，它反射地加载嵌入的 DLL，调整其基地址并解决导入后执行其入口点，通常是 beaconnig 模块的入口点。

beaconnig 模块与 C2 服务器通信以下载两个组件，分别名为 RuntimeBroker 和 RemoteShellcode，然后设置主机的持久性，并通过 fodhelper.exe 的合法二进制文件exploit UACypass，并使用 CMSTPLUA COM 接口进行特权 escalation。

RuntimeBroker 用于从 C2 服务器检索名为 Loader 的组件。Loader 操作方式与第一阶段加载器类似，执行 beaconnig 模块以继续感染。它还包括检测 sandbox 和扫描 Windows 注册表中的与中国应用程序相关的关键，如 Tencent WeChat 和 Alibaba DingTalk，表明恶意软件主要 targets 中文系统。

RemoteShellcode 从 C2 服务器检索 valleyRAT 下载器，然后使用 UDP 或 TCP sockets 与服务器连接以接收最终 payload。恶意软件尝试绕过检测通过将其根驱动器添加到 Windows Defender 排除列表中使用 PowerShell 命令。它使用管道在新的 PowerShell 进程中执行命令，可能是为了绕过安全工具检查命令参数。

恶意软件尝试kill防病毒（AV）进程，特别是中国 AV 产品的进程，通过终止具有特定可执行文件名称的进程。如果这些进程仍然活动，恶意软件将 shellcode 与嵌入的 DLL 注入 lsass 进程，从而获得更高的特权，然后尝试kill AV 进程，并修改注册项以禁用或弱化 AV 产品的自动启动功能。

专家将 valleyRAT attributed 到一个 APT 组名为“Silver Fox”。该恶意软件的能力集中在图形监控用户活动和传递其他插件和可能其他恶意软件到受害系统上。valleyRAT 可以远程控制受害系统，加载额外插件和执行受害系统上的文件。

“这个恶意软件涉及多个组件在不同的阶段加载，并主要使用 shellcode 执行它们直接在内存中，显著地减少了在系统中的文件 trace。一旦恶意软件在系统中获取 foothold，它支持监控受害用户活动和传递任意插件以实现攻击者意图。”结论。

原文始发于微信公众号（黑猫安全）：.valleyRAT恶意软件正在攻击中国用户