СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.09.2025
#Dev#ИБ

ValleyRAT: драйвер NVIDIA.exe отключает EDR и маскирует бэкдор

ValleyRAT: драйвер NVIDIA.exe отключает EDR и маскирует бэкдор

Эксперты по безопасности выявили кампанию ValleyRAT, использующую поддельные инсталляторы приложений — в том числе под видом WinRAR и Telegram — для распространения вредоносных бинарных файлов. Одним из ключевых артефактов атаки является файл NVIDIA.exe, который действует как dropper и содержит драйвер с неизвестной функциональностью, направленной на отключение средств обнаружения и реагирования на конечных точках (EDR).

Ключевые находки

  • Поддельные установщики маскируются под легитимные приложения (например, WinRAR, Telegram), но развертывают набор двоичных файлов.
  • Файл NVIDIA.exe содержит неизвестный драйвер, предназначенный для выполнения операций, направленных на решения обеспечения безопасности конечных точек.
  • Dropper создаёт временный файл в каталоге AppData пользователя и регистрирует службу с случайно сгенерированным именем в реестре Windows.
  • Идентификация временного каталога использует функцию GetTempPathA; в случае сбоя этой функции процесс останавливается.
  • Процесс регистрации и загрузки драйвера включает создание ключа службы в реестре, назначение пути к image и вызов API NtLoadDriver, что гарантирует интеграцию драйвера в систему на уровне ядра.
  • Простое удаление раздела реестра службы или файла драйвера не удаляет уже загруженный в память драйвер — для полного устранения требуется остановка драйвера или перезагрузка системы.
  • Обнаруженное поведение рассматривается как потенциальное развертывание бэкдора / инструмента удалённого доступа (RAT), что требует передачи информации командам реагирования на инциденты.

Техническое описание механики атаки

По данным расследования, NVIDIA.exe выполняет следующие действия:

  • Создаёт временный файл в пользовательском каталоге AppData и использует GetTempPathA для определения пути. При неудаче дальнейшее выполнение прекращается.
  • Регистрирует службу с произвольным именем в реестре Windows и создаёт служебный ключ.
  • Назначает путь к image, указывающий на удалённый файл, и вызывает NtLoadDriver для загрузки драйвера в ядро.
  • Драйвер спроектирован для отключения инструментов EDR и классических механизмов защиты конечной точки, тем самым обеспечивая устойчивость и сохранить контроль злоумышленников.

Важно: NVIDIA.exe функционирует как капельница (dropper) и средство обхода мер безопасности — загруженный драйвер не исчезнет только от удаления реестра или файла на диске.

Рекомендации по сдерживанию и реагированию

В случае подтверждения инцидента, специалисты по инцидент-реакции и администраторы должны выполнить следующие шаги:

  • Немедленно изолировать пострадавшую систему от сети, чтобы предотвратить дальнейшее распространение и связь с C2.
  • Перезагрузить систему для выгрузки загруженного драйвера, поскольку простое удаление файлов или ключей реестра недостаточно.
  • Проверить, что компонент ядра .NSecKrnl (или аналогичный по названию) больше недоступен в системе после перезагрузки.
  • Произвести сбор и анализ логов (Windows Event Logs, Sysmon, EDR-логи) для выявления других признаков компрометации, включая создание временных файлов в AppData, регистрацию служб с рандомизированными именами и вызовы NtLoadDriver.
  • Рассматривать обнаруженное поведение как возможное развертывание бэкдора/RAT и передавать данные и артефакты командам IR для дальнейшего расследования и охвата.
  • При необходимости выполнить детальный форензик-анализ (снимок памяти, анализ образов диска) до перезагрузки для сохранения артефактов в памяти.
  • Обновить сигнатуры и правила обнаружения (IDS/EDR) для поиска индикаторов, включая имена файлов (NVIDIA.exe), обращения к GetTempPathA, создание ключей служб в реестре и наличие .NSecKrnl.

Практические советы для команд защиты

  • Добавьте мониторинг создания исполняемых файлов в пользовательских директориях (%AppData%, %TEMP%) и регистрацию новых служб в реестре.
  • Настройте оповещения на нетипичные вызовы NtLoadDriver или попытки назначения image path, указывающего на удалённые/нестандартные файлы.
  • Включите процедуру форензики памяти как часть playbook для случаев, где возможна загрузка драйвера в ядро.
  • Проведите обучение пользователей и IT-персонала о рисках загрузки программ из непроверенных источников и проверке целостности установщиков.

Вывод

Кампания ValleyRAT демонстрирует сочетание социальной инженерии (поддельные инсталляторы) и сложных техник укоренения в системе через загрузку драйвера в ядро. Особая опасность заключается в том, что драйвер нацелен на отключение EDR, а стандартные действия по удалению файлов и ключей реестра не обеспечивают выгрузку вредоносного кода из памяти. Это требует от команд безопасности скоординированных мер — изоляции систем, перезагрузки, форензики и передачи инцидента на уровень IR для полноценного расследования и устранения угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: