FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

ValleyRAT是一种针对Windows系统的复杂多阶段远程访问木马，主要瞄准中文用户和组织机构。该恶意软件最早于2023年初被发现，采用精心设计的感染链，通过下载器、加载器、注入器和最终载荷等多个组件逐步实施攻击，给安全团队的检测和清除工作带来极大挑战。

攻击手法与传播途径

ValleyRAT背后的威胁行为者通过钓鱼攻击和木马化安装程序分发恶意软件，利用中国商业环境中常见的信任关系实施攻击。该恶意软件的独特之处在于其地理触发机制——在执行前会查询Windows注册表中是否存在特定应用程序。它会专门检查微信（HKCU\Software\Tencent\WeChat）和钉钉（HKCU\Software\DingTalk）的注册表项，如果两者都不存在就会立即终止运行。

Picussecurity安全分析师发现该恶意软件具备高级规避能力，其绕过系统防御的手段十分激进。ValleyRAT采用多种用户账户控制（UAC）绕过技术，针对Fodhelper.exe和事件查看器等Windows可执行文件，同时操纵安全令牌以获取SeDebugPrivilege权限。这一权限使恶意软件能够与更高完整性级别的进程交互，从而获得系统级控制权。

反分析与虚拟环境检测

恶意软件开发者为逃避虚拟环境中的检测实施了全面的反分析措施。ValleyRAT会执行CPUID指令检查，验证是否为真实的Intel或AMD处理器，检查虚拟机环境通常无法正确复制的厂商字符串。此外，它还会枚举活动窗口，搜索包括Wireshark、Fiddler等安全研究工具在内的分析软件。

感染机制与载荷投放

ValleyRAT的加载器组件使用包含3DES加密资源的.NET可执行文件，这些资源会在内存中完全解密并执行。该恶意软件利用微软官方构建引擎二进制文件MSBuild.exe作为执行宿主，通过进程伪装技术实现攻击。这种"就地取材二进制文件"（LOLBin）技术使ValleyRAT能够将恶意活动与正常系统操作混为一体。

其加密实现采用TripleDES解密算法，密钥通过BigEndianUnicode编码的MD5哈希值派生。恶意软件还使用.Replace方法、Strings.StrReverse函数和Unicode转义序列构建混淆字符串，以逃避静态分析。

参考来源：

Multi-Staged ValleyRAT Uses WeChat and DingTalk to Attack Windows Users

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）