サイバーニュース.jp

世界のサイバーなニュースを配信

ValleyRATマルウェア、ステルスドライバーインストールでWindows 11のセキュリティを回避

カテゴリ:

ValleyRATの概要:Windows 11を標的とする高度な脅威

Check Point Research (CPR) の包括的な分析により、ValleyRAT(Winos/Winos4.0としても知られる)という広く拡散しているバックドアの脅威が明らかになりました。このマルウェアは、洗練されたモジュラーアーキテクチャ危険なカーネルモードルートキット機能を備えており、完全にアップデートされたWindows 11システム上でも最新のセキュリティ保護を巧みに回避します。このマルウェアの開発者は、Windowsの内部構造に関する深い専門知識を持っていることが示されています。

期限切れ証明書を悪用したセキュリティバイパス

最も憂慮すべき発見は、ValleyRATの「Driver Plugin」です。これには、有効ではあるものの、2013年から2014年の間にのみ有効だった期限切れの証明書で署名されたカーネルモードルートキットが埋め込まれています。しかし、このドライバーはMicrosoftのレガシードライバー署名ポリシーの例外に該当するため、Hypervisor-protected Code Integrity (HVCI) やSecure Bootを含むすべての保護機能が有効になっているWindows 11システム上でもロードされてしまいます。

ルートキットの詳細機能とステルス性

このルートキットドライバーは、2023年4月23日のオリジナルのプログラムデータベース (PDB) パスとコンパイルタイムスタンプを保持しており、開発者が公開されている「Hidden」ルートキットプロジェクトを悪用し、変更したことを示唆しています。Check Pointの差分分析により、オリジナルのコードベースに約25の新しい機能が追加されていることが判明しました。これには、ステルス展開やラテラルムーブメントのための重要な機能が含まれます。

ValleyRATは、2つのドライバーインストールモードを実装しています。

  • 通常モード:埋め込まれたドライバーをディスクにドロップし、「kernelquick」というカーネルサービスとして登録します。
  • ステルスモード:MalSeclogonベースの偽装と親プロセスID (PPID) スプーフィングを悪用し、Desktop Window Manager (dwm.exe) のコンテキストでインストールコマンドを実行することで、行動検出信号を大幅に削減します。

このルートキットドライバーは、永続性の維持と検出回避のための高度な機能を提供します。

  • UMInjection():カーネルモードからユーザーモードへのAPCベースのシェルコードインジェクションを可能にします。
  • ForceDeleteFile():アンチウイルスやエンドポイント検出応答 (EDR) ドライバーを含む任意のファイルをカーネルレベルで強制削除します。
  • SetDriverStartType_SystemStart():サービス起動タイプをシステム起動に切り替えることで、ルートキットがブート時にロードされるよう永続性を高めます。

感染状況と公開されたビルダーの影響

Check Pointの検出分析によると、2024年11月から2025年11月の間に約6,000件のValleyRAT関連サンプルが検出され、そのうち85%が過去6ヶ月以内に出現しています。この急増は、2025年3月にValleyRATビルダーがGitHubリポジトリで公開されたことと直接関連しています。検出されたサンプルの中には、30種類のビルダーバリアントと12種類のルートキットドライバーバリアントが確認されており、その大半は2025年にコンパイルされています。7つのドライバーは、2015年以前のものにもかかわらず、有効で取り消されていない証明書で署名されたままであり、現在のドライバーブロックリストと検出能力のギャップをさらに強調しています。

広範囲なモジュラー型バックドア機能

ルートキット以外にも、ValleyRATの19の主要プラグインは広範なバックドア機能を提供します。これには以下が含まれます。

  • システム偵察
  • ファイル管理
  • リモートコマンド実行
  • スクリーンキャプチャ
  • オーディオおよびビデオ監視
  • キーストロークロギング
  • ネットワークトラフィックプロキシ

さらに、24の補助プラグインが、認証情報の窃盗、権限昇格、永続性、そしてWeChat、QQ、Telegramといった中国製アプリケーションを標的としたデータ漏洩のために設計されていることが確認されました。

帰属の複雑化とMicrosoftへの提言

ビルダーと疑われるソースコードが公開されているため、従来の帰属特定方法は複雑になっています。ValleyRATは歴史的にSilver Foxなどの中国語圏の脅威アクターと関連付けられてきましたが、現在の状況ではこのような帰属は信頼できません。誰でもValleyRATを独自にコンパイル、変更、展開できるため、以前の指標が曖昧になっています。

Check Pointは、Windowsドライバー署名ポリシーにおける現実世界のセキュリティギャップを強調し、その調査結果をMicrosoftのセキュリティインテリジェンスチームに責任を持って開示しました。この調査は、ValleyRATがアクターにリンクされた脅威から、野放しに採用が進むオープンソースのマルウェアフレームワークへと移行していることを浮き彫りにしています。

元記事: https://gbhackers.com/valleyrat-malware-2/

投稿をさらに読み込む