ValleyRAT: модульный RAT с руткитом в ядре, обход Windows 11

Check Point Research провела детальный технический анализ вредоносного ПО ValleyRAT — также известного как Winos или Winos4.0. Отчет раскрывает модульную архитектуру семейства, особенности встроенного руткита и потенциальные риски, связанные с публичным распространением конструктора (builder).

Ключевые выводы

  • ValleyRAT представляет собой сложную модульную платформу с системой подключаемых плагинов.
  • Один из плагинов содержит 64‑битный руткит в режиме ядра, который сохраняет действительные подписи и способен работать в обновлённых системах Windows 11, обходя встроенные механизмы защиты.
  • В ходе реверс-инжиниринга исследователи восстановили работу основных компонентов ValleyRAT и идентифицировали 38 основных плагинов.
  • Анализ показал резкий рост активности: примерно 85% обнаруженных образцов приходится на последние шесть месяцев.
  • Доступность конструктора и артефактов разработки затрудняет привязку кампаний к конкретным операторам (например, к китайскоязычной группе Silver Fox).

Техническая картина: архитектура и методы

Исследовательская группа провела реинжиниринг ключевых компонентов ValleyRAT, используя сочетание автоматизированных методов и ручной верификации, в том числе с привлечением методов искусственного интеллекта. Восстановленный builder функционирует как панель управления (C2) и управляет набором плагинов, каждый из которых добавляет конкретную функциональность.

Архитектура предполагает возможность наличия дополнительных вспомогательных плагинов, однако их поведение остаётся спекулятивным, поскольку они не были включены в доступный скомпилированный конструктор.

Руткит в режиме ядра (плагин драйвера)

Особое внимание уделено плагину, который содержит руткит в режиме ядра. Его характеристики:

  • 64‑битный двоичный файл в режиме ядра, встроенный в один из плагинов.
  • Сохранение действительных цифровых подписей, что позволяет работать на обновлённых системах Windows 11 и обходить штатные механизмы контроля драйверов.
  • Возможность внедрения шеллкода в пользовательском режиме посредством APCs (Asynchronous Procedure Calls).
  • Агрессивное удаление антивирусных драйверов и средств EDR (Endpoint Detection and Response).
  • Поддержание постоянного соединения с сервером C2 для получения команд и загрузки модулей.

Заимствования и расширения: связь с проектом Hidden

Дизайн руткита ValleyRAT частично опирается на код открытого проекта Hidden, однако разработчики внесли ряд модификаций, направленных на улучшение совместимости с новыми версиями Windows и расширение функционала. Среди конкретных дополнений, отсутствовавших в оригинальной кодовой базе:

  • внедрение шеллкода через APCs;
  • принудительное удаление файлов на уровне ядра;
  • механизмы усиления закрепления в системе через модификации конфигурации служб.

Распространение и оперативная оценка риска

Статистика по образцам указывает на значительный рост использования ValleyRAT за последние шесть месяцев — около 85% всех найденных экземпляров приходится именно на этот период. Наличие публично доступного конструктора и исходников или артефактов разработки снижает возможность однозначной атрибуции и делает семейство привлекательным для широкого круга злоумышленников.

По данным Check Point Research, доступность конструктора ValleyRAT затрудняет традиционную привязку к конкретным злоумышленникам, включая Silver Fox.

Практические выводы и рекомендации

Исходя из обнаруженных возможностей ValleyRAT, организациям и специалистам по защите стоит учитывать следующие меры:

  • усилить контроль целостности драйверов и мониторинг загрузки новых драйверов в системе;
  • внедрить поведенческую аналитику, способную выявлять атипичные попытки внедрения кода через APCs;
  • обеспечить своевременное обновление EDR/AV-решений и проверку их устойчивости к отключению со стороны драйверов;
  • ограничить привилегированные учётные записи и усложнить механизмы закрепления в системах (например, контроль конфигураций служб);
  • отслеживать индикаторы компрометации, опубликованные Check Point Research, и оперативно применять IOC в системах детекции.

Заключение

ValleyRAT — это не просто очередной RAT; это модульная платформа с полноценной поддержкой руткита в режиме ядра и возможностью быстрого масштабирования через конструктор. Публичное распространение инструментов разработки повышает риск широкого внедрения, а модификации, позаимствованные у проекта Hidden, делают вредонос более совместимым с современными версиями Windows. Оперативные контрмеры и поведенческая аналитика остаются ключевыми средствами защиты против подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: