ValleyRAT architektúrája
A ValleyRAT (Winos, Winos4.0) egy moduláris, több komponensből álló backdoor malware-család, amelyet világszerte és különösen célzott kampányokban használnak. Egyes megfigyelések szerint a kártevőt stratégiai célok elleni, kormányzati vagy felső szintű adatlopási műveletekben vetik be, például olyan akciókban, ahol az adatszivárgás vagy a tartós, rejtett hozzáférés a cél.
A Check Point Research legújabb elemzése a ValleyRAT teljes architektúráját és felépítését vizsgálta, beleértve a builder eszközökből kinyert projektfájlokat, modulokat és fejlesztési struktúrákat, amelyek korábban csak részben voltak ismertek. A kutatók ezek alapján rekonstruálni tudták a backdoor összes főbb komponensét, így egy átfogó képet kapva arról, hogyan működik a malware rendszerként.
A ValleyRAT egyik legérdekesebb, és a védekezés szempontjából legkritikusabb, eleme a kernel-szintű rootkit komponens, amely egy speciális Driver Plugin révén a Windows operációs rendszer legmélyebb szintjén fut. Ez a rootkit olyan technikákat alkalmaz, amelyek lehetővé teszik a malware számára az észlelés elkerülését, a védelmi termékek kijátszását, valamint a rendszerhívások manipulálását anélkül, hogy a biztonsági megoldások könnyen észrevennék. Mivel egyes esetekben a rootkit még a Windows 11 naprakész rendszereken is betöltődhet, ez komoly kihívást jelent a hagyományos biztonsági mechanizmusok számára.
A ValleyRAT felépítése moduláris, egy kezdeti loader állomány hivatalos vagy megtévesztő csaliként jut be a rendszerbe, majd ez a loader a C2 szerverről letölti és aktiválja a backdoor további pluginjeit. Az Online Module vagy Login Module például a kezdeti hálózati kapcsolatot és jelzést biztosítja, míg más pluginok — így a kernel-rootkitet is tartalmazó Driver Plugin, mélyebb jogosultságokat és hosszú távú jelenlétet adnak meg.
A kutatás rámutat arra, hogy a ValleyRAT mögött nagy tudású fejlesztői kör áll, amely nemcsak a Windows kernel és a felhasználói mód internals ismeretére épül, hanem egy olyan rugalmas, célzottaképes eszköztárat hozott létre, amelyet a támadók egyedi kompromittálási célokra tudnak szabni — nem egyszerű RAT-ként, hanem teljesértékű, célzott támadási platformként.
Ez a modularitás és a rootkit-szintű technológia a ValleyRAT-ot különösen veszélyessé teszi, az ilyen malware nem csupán egyszeri adatszivárgásra képes, hanem tartós, láthatatlan hozzáférésre és rendszerszintű manipulációra, amelyet nagyon nehéz észlelni és eltávolítani még fejlett biztonsági megoldásokkal is. Emellett a builder erősen automatizált, így az eszköz egyre szélesebb körben terjedhet, függetlenül attól, hogy eredetileg mely fenyegető csoporthoz kötődik.
