Check Point Research провела детальный технический анализ вредоносного ПО ValleyRAT — также известного как Winos или Winos4.0. Отчет раскрывает модульную архитектуру семейства, особенности встроенного руткита и потенциальные риски, связанные с публичным распространением конструктора (builder).
Ключевые выводы
- ValleyRAT представляет собой сложную модульную платформу с системой подключаемых плагинов.
- Один из плагинов содержит 64‑битный руткит в режиме ядра, который сохраняет действительные подписи и способен работать в обновлённых системах Windows 11, обходя встроенные механизмы защиты.
- В ходе реверс-инжиниринга исследователи восстановили работу основных компонентов ValleyRAT и идентифицировали 38 основных плагинов.
- Анализ показал резкий рост активности: примерно 85% обнаруженных образцов приходится на последние шесть месяцев.
- Доступность конструктора и артефактов разработки затрудняет привязку кампаний к конкретным операторам (например, к китайскоязычной группе Silver Fox).
Техническая картина: архитектура и методы
Исследовательская группа провела реинжиниринг ключевых компонентов ValleyRAT, используя сочетание автоматизированных методов и ручной верификации, в том числе с привлечением методов искусственного интеллекта. Восстановленный builder функционирует как панель управления (C2) и управляет набором плагинов, каждый из которых добавляет конкретную функциональность.
Архитектура предполагает возможность наличия дополнительных вспомогательных плагинов, однако их поведение остаётся спекулятивным, поскольку они не были включены в доступный скомпилированный конструктор.
Руткит в режиме ядра (плагин драйвера)
Особое внимание уделено плагину, который содержит руткит в режиме ядра. Его характеристики:
- 64‑битный двоичный файл в режиме ядра, встроенный в один из плагинов.
- Сохранение действительных цифровых подписей, что позволяет работать на обновлённых системах Windows 11 и обходить штатные механизмы контроля драйверов.
- Возможность внедрения шеллкода в пользовательском режиме посредством APCs (Asynchronous Procedure Calls).
- Агрессивное удаление антивирусных драйверов и средств EDR (Endpoint Detection and Response).
- Поддержание постоянного соединения с сервером C2 для получения команд и загрузки модулей.
Заимствования и расширения: связь с проектом Hidden
Дизайн руткита ValleyRAT частично опирается на код открытого проекта Hidden, однако разработчики внесли ряд модификаций, направленных на улучшение совместимости с новыми версиями Windows и расширение функционала. Среди конкретных дополнений, отсутствовавших в оригинальной кодовой базе:
- внедрение шеллкода через APCs;
- принудительное удаление файлов на уровне ядра;
- механизмы усиления закрепления в системе через модификации конфигурации служб.
Распространение и оперативная оценка риска
Статистика по образцам указывает на значительный рост использования ValleyRAT за последние шесть месяцев — около 85% всех найденных экземпляров приходится именно на этот период. Наличие публично доступного конструктора и исходников или артефактов разработки снижает возможность однозначной атрибуции и делает семейство привлекательным для широкого круга злоумышленников.
По данным Check Point Research, доступность конструктора ValleyRAT затрудняет традиционную привязку к конкретным злоумышленникам, включая Silver Fox.
Практические выводы и рекомендации
Исходя из обнаруженных возможностей ValleyRAT, организациям и специалистам по защите стоит учитывать следующие меры:
- усилить контроль целостности драйверов и мониторинг загрузки новых драйверов в системе;
- внедрить поведенческую аналитику, способную выявлять атипичные попытки внедрения кода через APCs;
- обеспечить своевременное обновление EDR/AV-решений и проверку их устойчивости к отключению со стороны драйверов;
- ограничить привилегированные учётные записи и усложнить механизмы закрепления в системах (например, контроль конфигураций служб);
- отслеживать индикаторы компрометации, опубликованные Check Point Research, и оперативно применять IOC в системах детекции.
Заключение
ValleyRAT — это не просто очередной RAT; это модульная платформа с полноценной поддержкой руткита в режиме ядра и возможностью быстрого масштабирования через конструктор. Публичное распространение инструментов разработки повышает риск широкого внедрения, а модификации, позаимствованные у проекта Hidden, делают вредонос более совместимым с современными версиями Windows. Оперативные контрмеры и поведенческая аналитика остаются ключевыми средствами защиты против подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "ValleyRAT: модульный RAT с руткитом в ядре, обход Windows 11".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.