TokyoBlackHatNews

gbhackers.com 5分で読了

ValleyRATマルウェア、ステルスドライバーインストールでWindows 11のセキュリティを回避

Check Point Research(CPR)は、Winos/Winos4.0としても知られる広く拡散しているバックドア「ValleyRAT」について、その高度なモジュラーアーキテクチャと危険なカーネルモード・ルートキット機能を明らかにする詳細な分析を公開しました。

この調査は、マルウェア開発者がWindows内部構造に関する深い専門知識を持ち、最新のWindows 11が完全に更新された環境でも、現代的なセキュリティ保護を回避することに成功していることを示しています

最も衝撃的な発見は、正規だが有効期限切れの証明書で署名されたカーネルモード・ルートキットを埋め込む「Driver Plugin」に関するものです。

証明書の有効期間は2013年から2014年までと古いにもかかわらず、このドライバーはMicrosoftのレガシードライバー署名ポリシーの例外に該当し、Hypervisor-protected Code Integrity(HVCI)やSecure Bootを含むすべての保護機能が有効なWindows 11システム上でも読み込まれてしまいます。

Image
ValleyRATの開発構造 – 「Driver Plugin」。

このルートキットドライバーは、2023年4月23日の元のプログラムデータベース(PDB)パスとコンパイルタイムスタンプを保持しており、開発者が公開されている「Hidden」ルートキットプロジェクトを流用・改変したことを示唆しています。

Check Pointによる差分解析では、元のコードベースに約25個の新しい関数が追加されていることが判明し、その中にはステルス性の高いデプロイやラテラルムーブメント(横展開)を可能にする重要な機能も含まれていました。

高度なインストール手法

ValleyRATは2つのドライバーインストールモードを実装しています。通常モードでは、埋め込まれたドライバーをディスクにドロップし、「kernelquick」という名前のカーネルサービスとして登録します。

「Driver Plugin」は、埋め込まれたルートキットドライバーのユーザーモードクライアントとして動作するDLLです。その元のファイル名はエクスポートディレクトリから復元できます。

Image
「Driver Plugin」DLLの元のファイル名。

さらに問題なのは「ステルスモード」で、MalSeclogonベースのなりすましとPPID(親プロセスID)スプーフィングを用いて、Desktop Window Manager(dwm.exe)のコンテキストでインストールコマンドを実行し、振る舞い検知のシグナルを大幅に低減します。

このルートキットドライバーは、永続性の維持と検知回避のための高度な機能を導入しています。

新たに追加されたUMInjection()関数は、カーネルモードからユーザーモードへのAPCベースのシェルコードインジェクションを可能にし、ForceDeleteFile()はアンチウイルスやEDR(Endpoint Detection and Response)ドライバーを含む任意ファイルのカーネルレベルでの強制削除を実装します。

さらに、SetDriverStartType_SystemStart()関数はサービスの開始種別をシステム起動時に変更することで永続性を高め、ルートキットがブート時に読み込まれるようにします。

Check Pointの検知分析によると、2024年11月から2025年11月の間に約6,000件のValleyRAT関連サンプルが検出されており、そのうち約85%が直近6か月以内に出現したものです。

Image
 統計 – ValleyRATプラグインの検出状況(ITW)。

この急増は、2025年3月にValleyRATビルダーが一般公開されたことと直接相関しており、GitHubリポジトリ上にはC2パネルや開発構造、Visual Studioソリューションを含むコンテンツが存在していました。

検出されたサンプルの中から、研究者たちは30種類の異なるビルダー亜種と12種類のルートキットドライバー亜種を特定しており、その大半は2025年にコンパイルされたものでした。

そのうち7つのドライバーは2015年以前に作成されたにもかかわらず、有効で失効していない証明書で署名されたままであり、現在のドライバーブロックリストおよび検知能力に存在するギャップを一層浮き彫りにしています。

モジュラー型バックドアとしての機能

ルートキットに加え、ValleyRATの19個のメインプラグインは、システム偵察、ファイル管理、リモートコマンド実行、画面キャプチャ、音声・映像監視、キーストロークロギング、ネットワークトラフィックのプロキシなど、広範なバックドア機能を提供します。

また、分析では、資格情報窃取、権限昇格、永続化、データ流出を目的とした24個の補助プラグインも確認されており、中国のアプリケーションであるWeChat、QQ、Telegramを標的としています。

ビルダーおよび疑われるソースコードが公開されていることにより、従来のアトリビューション手法は複雑化しています。

ValleyRATは歴史的にSilver Foxなど中国語話者の脅威アクターと関連付けられてきましたが、現在の状況ではそのようなアトリビューションは信頼性に欠けます。誰でもValleyRATを独自にコンパイル、改変、デプロイできるようになり、従来の指標は曖昧になっています。

Check Pointは、Windowsのドライバー署名ポリシーにおける実環境でのセキュリティギャップを強調しつつ、その調査結果をMicrosoftのSecurity Intelligenceチームに責任を持って開示しました。

この研究は、ValleyRATが特定アクターに紐づく脅威から、野外での利用が加速する公開マルウェアフレームワークへと移行したことを浮き彫りにしています。

翻訳元: https://gbhackers.com/valleyrat-malware-2/

ソース: gbhackers.com
#Check Point Research #HVCI と Secure Boot 回避 #ValleyRAT #Windows 11 セキュリティ #カーネルモードルートキット #ステルスインストール #ドライバ署名ポリシー #バックドア型マルウェア #マルウェア解析 #中国系サイバー脅威

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚