ValleyRAT木马利用微信和钉钉针对国内用户发起攻击
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
ValleyRAT是一种复杂的Windows远程访问木马,专门针对中文用户。它通过多阶段感染链进行攻击,利用钓鱼和木马程序传播。该恶意软件在执行前检查特定应用程序的注册表项,具备高级规避能力,能够绕过系统防御并获取系统级控制权。同时,开发者实施反分析措施,使其在虚拟环境中难以被检测。
🎯
关键要点
- ValleyRAT是一种复杂的Windows远程访问木马,主要针对中文用户和组织。
- 该恶意软件通过多阶段感染链进行攻击,使用下载器、加载器、注入器和最终载荷等组件。
- 攻击者通过钓鱼攻击和木马化安装程序分发恶意软件,利用信任关系实施攻击。
- ValleyRAT在执行前检查Windows注册表中的特定应用程序,具备地理触发机制。
- 该恶意软件具备高级规避能力,能够绕过系统防御并获取系统级控制权。
- ValleyRAT使用多种用户账户控制(UAC)绕过技术,操纵安全令牌以获取SeDebugPrivilege权限。
- 开发者实施反分析措施,逃避虚拟环境中的检测,包括CPUID指令检查和活动窗口枚举。
- ValleyRAT的加载器组件使用3DES加密资源,并通过MSBuild.exe作为执行宿主。
- 恶意软件采用混淆技术逃避静态分析,包括使用.Replace方法和Unicode转义序列。
❓
延伸问答
ValleyRAT木马是如何传播的?
ValleyRAT木马通过钓鱼攻击和木马化安装程序进行传播,利用信任关系实施攻击。
ValleyRAT木马的主要目标是什么?
ValleyRAT木马主要针对中文用户和组织,尤其是在中国的商业环境中。
ValleyRAT木马具备哪些规避检测的能力?
ValleyRAT具备高级规避能力,能够绕过系统防御,使用多种UAC绕过技术,并实施反分析措施。
ValleyRAT木马是如何检查目标应用程序的?
ValleyRAT在执行前会查询Windows注册表,检查微信和钉钉的注册表项,如果两者都不存在则终止运行。
ValleyRAT木马使用了哪些技术来混淆其代码?
ValleyRAT使用.Replace方法、Strings.StrReverse函数和Unicode转义序列来构建混淆字符串,逃避静态分析。
ValleyRAT木马的加载器组件是如何工作的?
ValleyRAT的加载器组件使用包含3DES加密资源的.NET可执行文件,并通过MSBuild.exe作为执行宿主。
➡️
