文章总结: SilverFoxAPT组织将ValleyRAT升级为八阶段恶意软件并引入内核Rootkit。攻击利用DLL侧加载、ETW与AMSI绕过及PNG隐写术隐藏载荷,通过Donut无文件执行。RAT基于WebSocket和QUIC隐蔽通信,Rootkit含超65个IOCTL处理程序,通过命名管道交互并注入AVkiller模块。建议监控异常MSI与PowerShell执行、可疑进程、驱动加载及QUIC流量,强制驱动签名并审计命名管道。 综合评分: 85 文章分类: 恶意软件,威胁情报,漏洞分析,应急响应
SilverFox 活动将 ValleyRAT 转变为具有 Rootkit 功能的多阶段恶意软件
原创
ZM ZM
暗镜
2026年7月12日 06:00 北京
在小说阅读器读本章
去阅读
SilverFox 高级持续威胁 (APT) 组织通过将 ValleyRAT 从传统的远程访问木马转变为八阶段恶意软件链,最终形成内核模式 rootkit,从而升级了其攻击工具包.
这一演变标志着渗透后持久化技术的重大转变,它将用户模式编排与深度内核控制相结合,以逃避检测并保持长期访问。
攻击始于 DLL 侧加载,其中被植入木马的安装程序滥用合法的签名可执行文件,以可信软件的名义执行恶意有效载荷。
早期阶段采用 ETW(Windows 事件跟踪)和 AMSI(反恶意软件扫描接口)绕过技术,以及将 shellcode 隐藏在图像文件的像素通道中的 PNG 隐写术。
这种技术允许恶意软件通过将有效载荷嵌入看似无害的资产中来绕过基于特征码的检测。
随后进行权限提升,从而实现更深层次的系统访问,并便于传递额外的隐写有效载荷。
然后,该链部署嵌套的 Donut shellcode,这是一种反射式加载器,它完全在内存中执行有效载荷,从而避免基于磁盘的取证痕迹。
该攻击活动的核心是 ValleyRAT 编排器,这是一个模块化的 RAT,它协调后续阶段,并通过 WebSocket 和 QUIC 协议维持命令与控制 (C2) 通信。
QUIC 的加密和基于 UDP 的传输使得网络防御者更难进行流量分析和拦截。
RAT还会检查虚拟化环境,特别是VMware,以避免在沙盒环境中进行分析。
最后阶段引入了一个内核模式的 rootkit,其中包含超过 65 个 IOCTL(输入/输出控制)处理程序,使攻击者能够直接控制底层系统操作。
该 rootkit 通过命名管道与 ValleyRAT 通信,这是一种隐蔽的进程间通信方法,可以避免传统的基于网络的检测。
根据 Gen Threat Labs 的说法,ValleyRAT 的模块化设计使其能够动态加载辅助插件,包括在检索 ABCDoor 等其他后门之前执行地理围栏检查的插件。
rootkit 的功能包括进程操控、驱动程序加载和内存拦截,从而有效地使攻击者能够控制操作系统内核。
此外,还会向 svchost.exe 中注入一个 AV killer 模块,以终止安全服务并禁用保护机制。
通过命名管道进行插件传输,无需额外的网络流量即可实现功能的模块化扩展,从而进一步降低被检测的可能性。
该组织在 12 天的时间窗口内,对每个受害者重新编译多达 13 个多态样本,每天轮换 C:\Drivers 下的文件路径,以避免启发式检测。
据观察,与中国有关联的 APT 组织 SilverFox 使用以税务为主题的诱饵、虚假软件安装程序和木马语言包,攻击印度、俄罗斯和整个亚太地区的组织。
该组织利用本地二进制文件、自定义加载器和多阶段感染链,凸显了其高度成熟的运营能力。
防御者应监控使用 VBScript 自定义操作启动 PowerShell 的 MSI 安装、可疑的进程名称(如 GjdLUhqZIJJB.exe)以及与已知 PDB 签名匹配的内核驱动程序加载。
网络团队应检查 WebSocket 和 QUIC 流量异常,而终端解决方案必须强制执行内核驱动程序签名,并监控命名管道的使用情况,以发现未经授权的 IPC。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:暗镜 ZM ZM《SilverFox 活动将 ValleyRAT 转变为具有 Rootkit 功能的多阶段恶意软件》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论