文章总结: SilverFox黑客组织部署新型ValleyRAT恶意软件,采用八阶段攻击链,通过DLL侧加载和隐写术隐藏载荷,最终部署内核级Rootkit。该RAT使用Go语言编写,通过WebSocket和QUIC协议通信,具备窃取加密货币和Telegram数据的功能。企业应监控异常命名管道活动、svchost.exe子进程及可疑安装程序,以防范此类复合型威胁。 综合评分: 90 文章分类: 恶意软件,红队,内网渗透,安全运营,威胁情报
SilverFox黑客利用Go语言RAT+内核Rootkit发起多阶段渗透攻击
FreeBuf
2026年7月7日 18:00 上海
在小说阅读器读本章
去阅读
Part01
新型多阶段攻击框架
一种新型远程访问恶意软件正悄然渗透企业网络,其行为模式完全颠覆了安全团队对该威胁组织的既往认知。这款被追踪为ValleyRAT的恶意软件由名为SilverFox的黑客组织部署,其最显著特征是采用前所未有的多阶段攻击链。与仅搭载单一有效载荷的常规远程访问木马(RAT)不同,ValleyRAT通过八个连续阶段实现设备完全控制,每个阶段都隐藏着下一阶段的触发机制,最终部署的内核级Rootkit甚至能直接接收来自RAT的指令。
Part02
隐匿技术深度剖析
这种分层架构绝非虚张声势。相比普通的信息窃取程序或后门,ValleyRAT的检测、分析和清除难度呈指数级上升,这也解释了为何该攻击活动能长期活跃而不被发现。Gen Threat Labs分析师在追踪异常安装程序时发现了该活动,这些安装文件会针对每个新受害者进行自我修改。研究人员指出,这是迄今为止对SilverFox工具链最清晰的观察案例。
攻击始于DLL侧加载技术,恶意文件通过合法签名应用程序作掩护。运行后,恶意软件会先禁用日志工具和杀毒扫描功能,随后将下一阶段有效载荷隐藏在看似普通的PNG图像像素数据中。这种基于隐写术的藏匿手段在攻击链中多次重复使用——在获取更高权限后,恶意软件会从第二张图像中提取新载荷,再通过名为Donut的内存加载器解压shellcode,该工具因能避免在磁盘留下明显痕迹而备受攻击者青睐。
Part03
复合型攻击武器库
ValleyRAT控制器随后会启动用Go语言编写的RAT模块,该组件通过WebSocket和QUIC协议与命令控制(C2)服务器通信,这些协议能轻易伪装成正常网络流量。RAT会将专门设计的杀毒软件禁用工具注入到svchost.exe(一个极少引发怀疑的核心Windows进程)中,最终安装支持65种以上指令代码的内核级Rootkit,通过命名管道接收RAT下发的指令。
Part04
数据窃取与持久化机制
除控制系统外,ValleyRAT还具备精密的数据窃取功能:实时监控剪贴板中的加密货币钱包地址,将其替换为攻击者控制的地址——这种手法在过往攻击中已悄无声息地转移了大量资金。恶意软件还会窃取受感染设备上的Telegram数据,获取私密对话和账户信息。更危险的是,攻击者能通过命名管道向已感染设备推送附加插件,实现攻击工具集的动态扩展。
在持久化方面,研究人员在12天内观测到13个经过多态变异的样本,每个样本的细微差异都能有效规避基于签名的检测。恶意文件每日在C:\Drivers目录下轮换路径,这种设计极大削弱了静态检测规则的有效性。攻击载体主要利用经过篡改的合法签名安装程序,借此绕过用户和安防软件对签名程序的默认信任。
Part05
防御建议与威胁指标
企业安全团队应重点监控以下异常行为:非常规的命名管道活动、svchost.exe进程下的异常子进程、以及不符合已知安全签名的安装程序。此案例警示我们:现代RAT已远非简单的远程控制工具,防御者必须应对多阶段加载器、基于图像的载荷隐藏、以及能与用户空间恶意程序直接交互的Rootkit等复合型威胁。
攻击指标(IoCs)
(注:域名中的方括号为防误触设计,实际分析时需移除)
参考来源:
SilverFox Hackers Use Go RAT, AV Killer, and Kernel Rootkit in Live ValleyRAT Campaign
SilverFox Hackers Use Go RAT, AV Killer, and Kernel Rootkit in Live ValleyRAT Campaign
推荐阅读
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
电报讨论
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《SilverFox黑客利用Go语言RAT+内核Rootkit发起多阶段渗透攻击》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论