【安全资讯】ValleyRAT恶意软件利用Shellcode和社交工程攻击中文用户

概要：

FortiGuard Labs最近发现了一场正在进行的网络攻击活动，主要针对中文用户，特别是电子商务、金融、销售和管理领域的用户。此次攻击活动使用了名为ValleyRAT的多阶段恶意软件，通过高级技术手段进行系统渗透和恶意活动。

主要内容：

此次ValleyRAT攻击活动的第一阶段采用了伪装成合法软件的欺骗手段。恶意软件使用了类似Microsoft Office等知名应用程序的图标，并以模仿财务文件的文件名诱导用户执行恶意文件。执行后，恶意软件通过创建名为“TEST”的互斥体确保其唯一实例运行，并删除可能由先前感染留下的特定注册表项。

ValleyRAT采用了多种高级规避技术以避免被安全软件和分析环境检测。例如，它通过搜索特定的虚拟机相关服务来检查虚拟机环境，如果检测到虚拟环境，恶意软件会立即终止。此外，它还使用了睡眠混淆技术，通过在shellcode执行期间操控内存权限，使得内存扫描器难以检测到恶意代码。恶意软件使用简单的XOR操作对其shellcode进行编码，进一步增加了检测难度。

ValleyRAT的核心在于其使用shellcode进行内存执行。初始化后，恶意软件使用AES-256解密其shellcode，并通过XOR操作揭示最终的有效载荷。shellcode反射性地加载嵌入的DLL，通常是一个信标模块，该模块与C2服务器通信以下载其他组件，如RuntimeBroker和RemoteShellCode。信标模块在建立与C2服务器的通信和确保恶意软件在受害者系统上的持久性方面起着关键作用。

此次ValleyRAT攻击活动提醒我们，网络犯罪分子不断演变的战术、技术和程序（TTPs）对特定社区构成了威胁。shellcode、社交工程和规避技术的使用强调了保持强大安全措施和用户意识的重要性。