感染鏈與技術分析

文章討論了一種名為 ValleyRAT 的複雜多階段惡意軟體，該惡意軟體通常與 Silver Fox APT 有關。 Morphisec 威脅實驗室調查了涉及 ValleyRAT 的攻擊，並發現該攻擊行為者更新了他們的戰術、技術和程序 (TTP)。攻擊者策略性地瞄準組織內的關鍵角色，尤其是財務、會計和銷售領域，以存取敏感資料和系統。

感染鏈

• 當使用者下載假的 Chrome 瀏覽器或造訪冒充中國簡訊供應商的釣魚網站時，感染就開始了。
• 然後，使用者從釣魚網站下載並執行檔名為 Setup.exe 的檔案。

Payload下載程式

• 用.NET 編寫的 setup.exe 檔案會檢查管理員權限，如果沒有，則會要求管理員權限。
• 它檢查作業系統類型並下載四個檔案：sscronet.dll、douyin.exe、mpclient.dat 和 tier0.dll，並將它們保存在 C:\Program Files (x86)\Common Files\System\ 中。
• 然後，它將 sscronet.dll 載入到記憶體中，並呼叫 Cronet_UrlRequest_Start 和 Cronet_UrlRequest_Read 函數，最終執行 douyin.exe。

關鍵組件與技術

• Sscronet.dll：此 DLL 的命名是為了避免懷疑，它導出函數來搜尋 svchost.exe 程序、在其中分配記憶體、寫入資料並執行 DLL 檔案。它還透過添加註冊表項實現了持久性。
• Svchost.exe：安裝程式將 DLL 注入 SVCHOST.exe 以監視和終止預定義(predefined)排除清單中的程序。
• Douyin.exe：攻擊者透過在相同資料夾中放置惡意 DLL，利用 DLL 側載入(side-loading)攻擊此檔案（TikTok 的中文版）。
• Tier0.dll：此 DLL 檢查並終止 nslookup 程序或建立新實例(instance)。它讀取包含 Donut shellcode 和
  加密 PE 檔案的 mpclient.dat，並在產生遠端程序之前將內容複製到 nslookup 的記憶體中。
• ValleyRAT 作為Payload：mpclient.dat 檔案包含 shellcode，可解密記憶體中的 PE 檔案並在不寫入磁碟的情況下執行它。它還可以hook AmsiScanString、AmsiScanBuffer 和 EtwEventWrite 等函數來繞過安全機制。
• 捕捉輸入和注入操作：攻擊者嘗試存取 Windows 工作站(station)以與使用者桌面進行互動，並抑制錯誤對話框以避免被發現。
• 螢幕監控：程式碼列舉連接的螢幕並檢索其詳細資訊以進行螢幕擷取。
• Keylogger：透過設定檔或登錄項目啓動，Keylogger將記錄的按鍵儲存在 ProgramData 目錄中名為 sys.key 的檔案中。
• 持久性：透過建立名為 GFIRestart64.exe 的檔案實作。
• 反 VMware：程式碼檢查 VMware 程序和特性，以逃避虛擬環境中的偵測。如果沒有偵測到虛擬機，它也會嘗試連接到 www.baidu.com 進行網路通訊檢查。
• C2 通訊：ValleyRAT 在其程式碼中初始化 C2 IP 位址和連接埠。它使用各種命令執行plugin cleanup、程序清單、DLL 執行、檔案刪除和設定registry key等任務。

Morphisec 的作用

Morphisec 的反勒索軟體保證套件由自動移動目標防禦 (AMTD) 提供支持，可針對勒索軟體和 ValleyRAT 等高級攻擊提供先發製人的網路防禦。 Morphisec 儘早阻止攻擊並減少攻擊面。

感染指標 (IOC)

文章列出了與 ValleyRAT 惡意軟體相關的 C2 位址、URL 和檔案雜湊。

總結

文章強調了 ValleyRAT 惡意軟體的複雜性，它是 Silver Fox APT 組織使用的一種複雜工具。該惡意軟體採用多階段感染鏈，利用 DLL hijacking、程序注入和anti-VMware 策略等技術來逃避偵測並破壞系統。它策略性地瞄準關鍵組織角色來竊取敏感資訊。 Morphisec 基於 AMTD 的反勒索軟體保證套件通過及早阻止攻擊並減少攻擊面，提供對此類威脅的先發製人的防禦。本文提供了有價值的妥協指標 (IOC) 來幫助組織檢測和預防 ValleyRAT 感染。

參考資料