#ИБ ValleyRAT: модульный RAT с руткитом в ядре, обход Windows 11 Check Point Research провела детальный технический анализ вредоносного ПО ValleyRAT — также известного как Winos или Winos4.0. Отчет раскрывает модульную архитектуру семейства, особенности встроенного руткита и потенциальные риски, связанные с публичным распространением конструктора (builder). Ключевые выводы ValleyRAT представляет собой сложную модульную платформу с системой подключаемых плагинов. Один из плагинов содержит 64‑битный руткит в режиме ядра, который сохраняет действительные подписи и способен работать в обновлённых системах Windows 11, обходя встроенные механизмы защиты. В ходе реверс-инжиниринга исследователи восстановили работу основных компонентов ValleyRAT и идентифицировали 38 основных плагинов. Анализ показал резкий рост активности: примерно 85% обнаруженных образцов приходится на последние шесть месяцев. Доступность конструктора и артефактов разработки затрудняет привязку кампаний к конкретным операторам (например, к китайскоязычной группе Silver Fox). Техническая картина: архитектура и методы Исследовательская группа провела реинжиниринг ключевых компонентов ValleyRAT, используя сочетание автоматизированных методов и ручной верификации, в том числе с привлечением методов искусственного интеллекта. Восстановленный builder функционирует как панель управления (C2) и управляет набором плагинов, каждый из которых добавляет конкретную функциональность. Архитектура предполагает возможность наличия дополнительных вспомогательных плагинов, однако их поведение остаётся спекулятивным, поскольку они не были включены в доступный скомпилированный конструктор. Руткит в режиме ядра (плагин драйвера) Особое внимание уделено плагину, который содержит руткит в режиме ядра. Его характеристики: 64‑битный двоичный файл в режиме ядра, встроенный в один из плагинов. Сохранение действительных цифровых подписей, что позволяет работать на обновлённых системах Windows 11 и обходить штатные механизмы контроля драйверов. Возможность внедрения шеллкода в пользовательском режиме посредством APCs (Asynchronous Procedure Calls). Агрессивное удаление антивирусных драйверов и средств EDR (Endpoint Detection and Response). Поддержание постоянного соединения с сервером C2 для получения команд и загрузки модулей. Заимствования и расширения: связь с проектом Hidden Дизайн руткита ValleyRAT частично опирается на код открытого проекта Hidden, однако разработчики внесли ряд модификаций, направленных на улучшение совместимости с новыми версиями Windows и расширение функционала. Среди конкретных дополнений, отсутствовавших в оригинальной кодовой базе: внедрение шеллкода через APCs; принудительное удаление файлов на уровне ядра; механизмы усиления закрепления в системе через модификации конфигурации служб. Распространение и оперативная оценка риска Статистика по образцам указывает на значительный рост использования ValleyRAT за последние шесть месяцев — около 85% всех найденных экземпляров приходится именно на этот период. Наличие публично доступного конструктора и исходников или артефактов разработки снижает возможность однозначной атрибуции и делает семейство привлекательным для широкого круга злоумышленников. По данным Check Point Research, доступность конструктора ValleyRAT затрудняет традиционную привязку к конкретным злоумышленникам, включая Silver Fox. Практические выводы и рекомендации Исходя из обнаруженных возможностей ValleyRAT, организациям и специалистам по защите стоит учитывать следующие меры: усилить контроль целостности драйверов и мониторинг загрузки новых драйверов в системе; внедрить поведенческую аналитику, способную выявлять атипичные попытки внедрения кода через APCs; обеспечить своевременное обновление EDR/AV-решений и проверку их устойчивости к отключению со стороны драйверов; ограничить привилегированные учётные записи и усложнить механизмы закрепления в системах (например, контроль конфигураций служб); отслеживать индикаторы компрометации, опубликованные Check Point Research, и оперативно применять IOC в системах детекции. Заключение ValleyRAT — это не просто очередной RAT; это модульная платформа с полноценной поддержкой руткита в режиме ядра и возможностью быстрого масштабирования через конструктор. Публичное распространение инструментов разработки повышает риск широкого внедрения, а модификации, позаимствованные у проекта Hidden, делают вредонос более совместимым с современными версиями Windows. Оперативные контрмеры и поведенческая аналитика остаются ключевыми средствами защиты против подобных угроз. Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке . Source: https://cisoclub.ru/valleyrat-modulnyj-rat-s-rutkitom-v-jadre-obhod-windows-11/