ValleyRAT木马利用微信和钉钉针对国内用户发起攻击
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
ValleyRAT是一种复杂的Windows远程访问木马,专门针对中文用户。它通过多阶段感染链进行攻击,利用钓鱼和木马程序传播。该恶意软件在执行前检查特定应用程序的注册表项,具备高级规避能力,能够绕过系统防御并获取系统级控制权。同时,开发者实施反分析措施,使其在虚拟环境中难以被检测。
🎯
关键要点
- ValleyRAT是一种复杂的Windows远程访问木马,主要针对中文用户和组织。
- 该恶意软件通过多阶段感染链进行攻击,使用下载器、加载器、注入器和最终载荷等组件。
- 攻击者通过钓鱼攻击和木马化安装程序分发恶意软件,利用信任关系实施攻击。
- ValleyRAT在执行前检查Windows注册表中的特定应用程序,具备地理触发机制。
- 该恶意软件具备高级规避能力,能够绕过系统防御并获取系统级控制权。
- ValleyRAT使用多种用户账户控制(UAC)绕过技术,操纵安全令牌以获取SeDebugPrivilege权限。
- 开发者实施反分析措施,逃避虚拟环境中的检测,包括CPUID指令检查和活动窗口枚举。
- ValleyRAT的加载器组件使用3DES加密资源,并通过MSBuild.exe作为执行宿主。
- 恶意软件采用混淆技术逃避静态分析,包括使用.Replace方法和Unicode转义序列。
➡️
