文章总结： ValleyRAT是一种针对中文用户的多阶段远程访问木马，与SilverFox组织关联，具备六大核心对抗技术：高级规避技术包括无文件内存加载和AMSI禁用；权限提升与持久化通过UAC绕过和多层持久化机制实现；环境感知与反分析能力包括虚拟机检测和沙箱逃逸；内核级Rootkit能力使其能穿透Windows11防护；C2通信采用加密通道和模块化插件。检测建议包括监控fodhelper.exe进程行为、识别异常注册表操作、检测内核驱动安装等。 综合评分： 89 文章分类： 恶意软件,漏洞分析,红队,内网渗透,终端安全

银狐系valleyRAT工具对抗技术浅析

原创

Ti

TIPFactory情报工厂

2025年12月15日 20:53 江苏

ValleyRAT 是一种多阶段远程访问木马（RAT），主要针对中文用户和组织，常与“SilverFox”  组织关联。本篇报告重点在分析与总结valleyRAT黑客工具的技术对抗手段，以及可能的检测方法。基于持续分析与监控，可将 ValleyRAT 的核心对抗技术归纳为以下六大维度。

1 高级规避（Evasion）技术

1.1 无文件内存加载

使用 Donut 或自定义 shellcode 在内存解密并执行主载荷，避免写入磁盘。

示例样本：b83e4408ea65b47260cca57ee4f8f4ea

1.2 AMSI/ETW禁用

通过 patching amsi.dll 内存或调用 NtSetInformationThread 阻断日志上报。HOOK关键API示例：

else {
    $ProviderVtbl = [Marshal]::ReadInt32($ProviderPtr)
    $ScanFuncAddr = [Marshal]::ReadInt32($ProviderVtbl + 12)
}

if (-not $memProtectDelegate.Invoke($ScanFuncAddr, [uint32]6, $PAGE_EXECUTE_WRITECOPY, [ref]$origProt)) {
    Throw "[!] Erro ao alterar a proteção de memória em $ScanFuncAddr" #[!] Error changing memory protection in $ScanFuncAddr
}

try {
    [Marshal]::Copy($patchBytes, 0, [IntPtr]$ScanFuncAddr, 6)
}
catch {
    Throw "[!] Erro ao escrever o patch no endereço: $ScanFuncAddr" #Error writing patch to address: $ScanFuncAddr
}

for ($i = 0; $i -lt $patchBytes.Length; $i++) {
    $byteVal = [Marshal]::ReadByte([IntPtr]::Add($ScanFuncAddr, $i))
    if ($byteVal -ne $patchBytes[$i]) {
        Throw "[!] Falha ao aplicar o patch em $ScanFuncAddr" #[!] Failed to apply patch to $ScanFuncAddr
    }
}

1.3 LOLBins利用

借助 MSBuild.exe、Regsvr3.exe 等可信系统程序加载恶意 .NET 代码。

1.4 字符串混淆

结合 StrReverse、Unicode 转义、随机填充等手段逃避静态特征匹配。

2 权限提升与持久化

2.1 UAC Bypass

利用 fodhelper.exe、eventvwr.exe 的自动提权漏洞获取 Medium→High 权限。已知利用特定的注册表密钥来利用 UAC 绕过。该检测方法使用端点检测与响应（EDR）遥测数据 fodhelper.exe 识别何时生成子进程并访问注册表密钥。

附上SPLUNK HUNTING的DSL语句截图

2.2 SeDebugPrivilege 获取

通过令牌操纵（Token Manipulation）获得调试权限，便于进程注入。

2.3 多层持久化

同时部署：注册表 Run、WMI Event Filter、Scheduled Task、服务 DLL 劫持。

3 环境感知与反分析

3.1 地理环境监测

检查 HKCU\Software\Tencent\WeChat 和 DingTalk 注册表，非目标环境则自毁。

• • HKEY_CURRENT_USER\Software\Tencent\Wechat
• • HKEY_CURRENT_USER\Software\Dingtalk

3.2 虚拟机检测

执行 CPUID 指令，验证返回的 Vendor ID 是否为真实 Intel/AMD（非 VMware/VBox）。

3.3 沙箱逃逸

检测屏幕分辨率 < 1024×768、CPU 核心数 ≤ 2、无鼠标移动等沙箱特征。

3.4 安全工具检测

枚举窗口标题或进程名，识别 Wireshark、Fiddler、ProcMon、x64dbg 等。

4 内核级 Rootkit 能力（关键威胁）

• • 利用泄露的构建工具生成 Windows 内核驱动（.sys）；
• • 可隐藏进程、文件、网络连接、注册表项；
• • Hook SSDT/Nt* 系统调用，拦截 EDR 的监控回调；
• • 绕过 HVCI（Hypervisor-Protected Code Integrity），实现内核代码注入；
• • 支持 Direct Kernel Object Manipulation (DKOM)，篡改 EPROCESS 链表。

⚠️ 此能力使其成为少数能穿透 Windows 11 最新防护机制的恶意软件之一。

在某个疑似是银狐开发者仓库的代码中找到了内核rootkit的部分代码。从rel版本中可以看到其被编译到了resource里面：

当在正常模式下  执行驱动安装命令（直接调用 DropAndInstallRootkit（） 时，客户端将嵌入驱动到磁盘，并将其安装为名为 kernelquick 的内核服务，生成相应的密钥：  HKLM\SYSTEM\CurrentControlSet\Services\kernelquick\ 。该服务注册为 需  **启动** SERVICE_KERNEL_DRIVER 。

除了上述驱动安装的“ 普通模式 ”外，客户端还可以触发“ 隐形模式 ”安装：

安装结果示例：

5 C2 通信与数据窃取

5.1 加密通信

AES/TLS + 自定义协议头，部分变种使用 DNS over HTTPS（DoH）隧道。

5.2 模块化插件

支持动态下载插件：键盘记录、屏幕截图、浏览器凭证窃取（Chrome/Edge）、剪贴板监控。

查看原文：《银狐系valleyRAT工具对抗技术浅析》