Một mã độc RAT từ xa dành cho Windows tinh vi, được biết đến với tên gọi ValleyRAT, đã nổi lên như một chỉ báo đáng tin cậy về các tấn công mạng có chủ đích nhắm vào người dùng và tổ chức nói tiếng Trung Quốc.

Mô hình hoạt động của ValleyRAT dựa trên một chuỗi lây nhiễm được dàn dựng cẩn thận, bao gồm bốn thành phần riêng biệt: trình tải xuống (downloader), trình nạp (loader), trình tiêm mã (injector), và tải trọng RAT.

Kiến trúc và Chuỗi Lây nhiễm của ValleyRAT

Mô hình Phân phối Nhiều Giai đoạn

Được phát hiện lần đầu vào đầu năm 2023, mã độc RAT nhiều giai đoạn này kết hợp các kỹ thuật né tránh tiên tiến, leo thang đặc quyền mạnh mẽ và logic thực thi có mục tiêu.

Mục đích là để thiết lập các điểm tựa bền vững trên hệ thống nạn nhân, đồng thời né tránh các biện pháp phòng thủ an ninh. Kiến trúc mô-đun này cho phép kẻ tấn công duy trì sự bí mật trong suốt chuỗi tấn công.

Các kỹ thuật giải mã trong bộ nhớ và thực thi ‘living-off-the-land’ (sử dụng các công cụ hệ thống hợp pháp) được áp dụng để đạt được điều này. Mã độc này đặc biệt lạm dụng các tệp nhị phân hợp pháp của Windows, như MSBuild.exe, làm máy chủ thực thi để ngụy trang sự hiện diện của nó thành các tiến trình hệ thống đáng tin cậy.

Kỹ thuật Né tránh Nâng cao

ValleyRAT thể hiện mức độ tinh vi đáng kể trong mục tiêu thông qua việc triển khai cơ chế ‘kill switch’ dựa trên vị trí địa lý.

Khi được thực thi, mã độc sẽ truy vấn Windows Registry để kiểm tra sự hiện diện của hai ứng dụng giao tiếp phổ biến của Trung Quốc: WeChat và DingTalk.

Nếu cả hai mục đăng ký (HKCUSoftwareDingTalk và HKCUSoftwareTencentWeChat) không được tìm thấy, mã độc sẽ giả định nó đang chạy ngoài môi trường hoạt động dự kiến.

Khi đó, nó sẽ chấm dứt thực thi ngay lập tức và hiển thị một thông báo lỗi gây hiểu lầm. Cách tiếp cận có mục tiêu này phân biệt ValleyRAT với các biến thể mã độc thông thường.

Điều này cho thấy các tác nhân đe dọa đang tiến hành các chiến dịch cực kỳ tập trung, thay vì các cuộc tấn công cơ hội.

Cơ chế Tắt Khẩn cấp (Kill Switch) và Mục tiêu có Chọn lọc

Phát hiện Môi trường Hoạt động

Việc kiểm tra sự tồn tại của WeChat và DingTalk trong Registry là một chỉ số mạnh mẽ cho thấy ValleyRAT nhắm mục tiêu vào các tổ chức sử dụng tiếng Trung.

Cơ chế này giúp mã độc tránh bị phân tích trong các môi trường không phải mục tiêu và duy trì tính bí mật của chiến dịch.

Kiểm tra Chống Trùng lặp

Ngoài ra, mã độc còn triển khai một cơ chế kiểm tra chống trùng lặp bằng cách cố gắng tạo một mutex có tên ‘TEST‘.

Điều này ngăn nhiều phiên bản của ValleyRAT chạy đồng thời trên các hệ thống bị xâm nhập.

Các nhà nghiên cứu bảo mật coi việc phát hiện ValleyRAT là chỉ số đáng tin cậy của các tấn công mạng có chủ đích, chứ không phải các lây nhiễm ngẫu nhiên.

Cơ chế ‘kill switch’ này được xác định là một chỉ số quan trọng về các biện pháp an ninh vận hành có chủ ý được sử dụng bởi các tác nhân đe dọa tinh vi. Xem thêm chi tiết về phân tích ValleyRAT tại Picus Security.

Leo thang Đặc quyền (Privilege Escalation)

Kỹ thuật Vượt qua UAC

Sau khi các kiểm tra môi trường của ValleyRAT được thông qua, mã độc ngay lập tức tìm cách có được quyền quản trị thông qua nhiều kỹ thuật vượt qua Kiểm soát Tài khoản Người dùng (UAC).

Mã độc khai thác các tệp thực thi Windows đã biết, bao gồm CompMgmtLauncher.exe, Event Viewer và Fodhelper.exe, bằng cách thao túng cả tệp và các mục đăng ký trong các vị trí có thể ghi của người dùng.

Kỹ thuật đáng chú ý nhất liên quan đến việc liên kết ProgID ms-settings với các phần mở rộng tệp tùy chỉnh trong HKCUSoftwareClasses.

Việc này chuyển hướng luồng thực thi khi các công cụ Windows hợp pháp được khởi chạy.

Thao túng Security Token

ValleyRAT còn thao túng security token của nó để kích hoạt SeDebugPrivilege.

Điều này cấp cho mã độc quyền kiểm soát chưa từng có để tương tác, kiểm tra và chấm dứt các tiến trình thuộc về người dùng khác hoặc các cấp độ toàn vẹn cao hơn.

Vô hiệu hóa Hệ thống Phòng thủ

Nhắm mục tiêu Phần mềm Bảo mật

Sau khi có được đặc quyền nâng cao, ValleyRAT sẽ vô hiệu hóa có hệ thống các biện pháp phòng thủ an ninh.

Nó nhắm mục tiêu vào một danh sách đầy đủ các tệp thực thi của phần mềm chống vi-rút và hệ thống ngăn chặn xâm nhập dựa trên máy chủ (HIPS), chủ yếu từ các nhà cung cấp Trung Quốc.

Các nhà cung cấp này bao gồm Qihoo 360, Tencent QQ PC Manager và Kingsoft. Mã độc sẽ chấm dứt các tiến trình này trước khi tiếp tục và sửa đổi cài đặt đăng ký của phần mềm bảo mật để tắt khả năng tự khởi động của chúng.

Kiểm tra Môi trường Ảo

Mã độc sử dụng lệnh CPUID để xác minh chuỗi nhà cung cấp bộ xử lý, kiểm tra các định danh ‘GenuineIntel‘ hoặc ‘AuthenticAMD‘.

Các định danh này thường bị giả mạo trong các môi trường ảo như VMware hoặc VirtualBox. Việc này giúp ValleyRAT phát hiện và tránh chạy trong các môi trường phân tích hoặc sandbox.

Kỹ thuật Chống Phân tích và Duy trì Quyền truy cập

Phương pháp Chống Phân tích

ValleyRAT sử dụng các kỹ thuật chống phân tích mạnh mẽ để né tránh cả môi trường sandbox và sự điều tra của nhà nghiên cứu.

Mã độc liệt kê các cửa sổ đang chạy và kiểm tra chuỗi tiêu đề của chúng so với các công cụ phân tích đã biết, bao gồm Wireshark, Fiddler, Malwarebytes, ApateDNS và TaskExplorer.

Duy trì Quyền truy cập (Persistence)

Để đảm bảo thực thi bền bỉ qua các lần khởi động lại hệ thống, ValleyRAT ghi đường dẫn thực thi của nó vào HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun.

Nó sử dụng một tên giá trị gây hiểu lầm là GFIRestart32.exe. Mã độc cũng tự sao chép vào thư mục Startup dưới dạng Appcustom.exe, thiết lập nhiều vectơ duy trì.

Giao tiếp với Máy chủ C2

Kiểm tra Kết nối và Chuỗi Beacon Động

Trước khi liên hệ với máy chủ điều khiển và ra lệnh (C2), ValleyRAT thực hiện kiểm tra kết nối Internet ban đầu đối với hxxp://www.baidu.com.

Sau đó, nó tạo một số nguyên ngẫu nhiên để xây dựng một chuỗi beacon động được gửi đến cơ sở hạ tầng C2. Cách tiếp cận động này hỗ trợ việc né tránh dựa trên mạng bằng cách ngăn các chữ ký phát hiện tĩnh nhận dạng các giao tiếp C2.

Chỉ số Thỏa hiệp (IOCs)

Để hỗ trợ phát hiện và ứng phó với ValleyRAT, các chỉ số thỏa hiệp sau đây đã được xác định:

• Mutex Name:TEST
• Registry Keys & Values:
  • HKCUSoftwareDingTalk
  • HKCUSoftwareTencentWeChat
  • HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun (Value Name: GFIRestart32.exe)
  • HKCUSoftwareClasses (Thao túng ms-settings ProgID)
• File Names & Paths:
  • GFIRestart32.exe (trong Run key)
  • Appcustom.exe (trong thư mục Startup)
• Tệp nhị phân Windows bị lạm dụng:
  • MSBuild.exe
  • CompMgmtLauncher.exe
  • Event Viewer
  • Fodhelper.exe
• C2 Initial Connectivity Check:
  • hxxp://www.baidu.com