はじめに
高度なWindowsリモートアクセス型トロイの木馬(RAT)であるValleyRATが、中国語圏のユーザーや組織に対する標的型攻撃の強力な指標として浮上しています。2023年初頭に初めて観測されたこのマルウェアは、高度な回避技術、積極的な権限昇格、および標的型実行ロジックを組み合わせて、セキュリティ防御を回避しながら被害者システムに永続的な足場を確立します。
ValleyRATの運用モデルと配信チェーン
ValleyRATの運用モデルは、4つの異なるコンポーネントからなる綿密に調整された配信チェーンに依存しています。これには、ダウンローダー、ローダー、インジェクター、およびRATペイロードが含まれます。この多段階マルウェアは、インメモリでの復号化や「Living-off-the-Land」実行技術を通じて、攻撃チェーン全体でステルス性を維持できるモジュール型アーキテクチャを採用しています。
高度な回避技術
マルウェアは、その存在を信頼されたシステムプロセスとして偽装するために、特にMSBuild.exeなどの正規のWindowsバイナリを実行ホストとして悪用します。
ValleyRATは、地理的なキルスイッチメカニズムを実装することで、異常なレベルの標的型洗練性を示しています。実行時に、マルウェアはWindowsレジストリで2つの一般的な中国製通信アプリケーション、WeChatとDingTalkの存在を照会します。両方のレジストリエントリ(HKCU\Software\DingTalkおよびHKCU\Software\Tencent\WeChat)が見つからない場合、マルウェアは意図した運用環境外で実行されていると判断し、誤解を招くエラーメッセージを表示して直ちに実行を終了します。この標的型アプローチは、ValleyRATを一般的なマルウェアとは区別し、攻撃者が日和見的な攻撃ではなく、高度に焦点を絞ったキャンペーンを実施していることを示唆しています。
また、マルウェアは「TEST」という名前付きミューテックスを作成しようとすることで、重複インスタンス防止チェックを実装し、侵害されたシステム上で複数のインスタンスが同時に実行されるのを防ぎます。
多角的な権限昇格
ValleyRATの環境チェックが通過すると、マルウェアは複数のユーザーアカウント制御(UAC)バイパス技術を通じて直ちに管理者権限を追求します。マルウェアは、ユーザーが書き込み可能な場所にあるファイルおよびレジストリエントリを操作することで、CompMgmtLauncher.exe、イベントビューア、およびFodhelper.exeなどの既知のWindows実行ファイルを悪用します。最も注目すべき技術は、ms-settings ProgIDをHKCU\Software\Classesのカスタムファイル拡張子に関連付け、正規のWindowsツールが起動されたときに実行フローをリダイレクトすることです。
さらに、ValleyRATはセキュリティトークンを操作してSeDebugPrivilegeを有効にし、マルウェアに他のユーザーやより高い整合性レベルに属するプロセスと対話し、検査し、終了させる前例のない制御を付与します。
セキュリティ防御の無力化
特権を昇格させた後、ValleyRATは、特にQihoo 360、Tencent QQ PC Manager、Kingsoftを含む中国ベンダーのアンチウイルスおよびホストベースの侵入防止システム実行ファイルの網羅的なリストを標的にして、セキュリティ防御を体系的に無力化します。
- Qihoo 360: 360d.exe, 360Safe.exe, 360Tray.exe
- Tencent QQ: QQPCRTP.exe, QQMPersonalCenter.exe
- Kingsoft: kxscan.exe, kwsprt.exe, kxascore.exe
マルウェアは、CPUID命令を使用してプロセッサベンダー文字列を検証し、「GenuineIntel」または「AuthenticAMD」識別子をチェックします。これらはVMwareやVirtualBoxなどの仮想環境でしばしば偽装されます。マルウェアはこれらのプロセスを続行する前に終了させ、セキュリティソフトウェアのレジストリ設定を変更して自動起動機能をオフにします。
洗練された分析回避と永続化
ValleyRATは、サンドボックス環境と研究者による調査の両方を回避するために、堅牢な分析回避技術を採用しています。マルウェアは、実行中のウィンドウを列挙し、そのタイトル文字列をWireshark、Fiddler、Malwarebytes、ApateDNS、TaskExplorerなどの既知の分析ツールと照合します。
システム再起動後も永続的な実行を確保するため、ValleyRATは欺瞞的な値名「GFIRestart32.exe」を使用して、実行パスをHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに書き込みます。また、マルウェアは自身を「Appcustom.exe」としてスタートアップフォルダにコピーし、複数の永続化ベクトルを確立します。
コマンド&コントロール(C2)通信
コマンド&コントロールサーバーに接続する前に、ValleyRATはhxxp://www.baidu.comに対して初期のインターネット接続チェックを実行し、その後、ランダムな整数を生成してC2インフラストラクチャに送信される動的なビーコン文字列を構築します。この動的なアプローチは、静的な検出シグネチャがC2通信を特定するのを防ぐことで、ネットワークベースの回避に役立ちます。