偽インストーラーチェーン、ValleyRAT感染に至る
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
トロイの木馬化されたインストーラーが LINE メッセンジャーセットアップを装って観察され、 ValleyRAT のペイロードを配信していました。これは NSIS で構築され、不審な証明書を使用して署名され、複数のDLLおよびINIコンポーネントを設置しました。これらは コードインジェクション and 持続性をサポートします。このマルウェアはその後、香港にホストされた2つのC2サーバーと通信し、追加の悪意あるバイナリを取得します。この活動は中国語を話すユーザーを狙っており、 PoolParty Variant 7 プロセスインジェクションなど高度な技術を使用しています。
調査
Cybereasonのアナリストは、偽のLINEインストーラーの静的および動的分析を実施し、次の使用を確認しました: PowerShell, rundll32およびカスタムDLLローダー。チェーンは、 %AppData% and %LocalAppData%にアーティファクトを作成し、 ミューテックスによる同期を確立し、 スケジュールタスク をRPCを介して作成し、持続性を登録しました。インストール後の行動には、 explorer.exe and UserAccountBroker.exeへのインジェクションが含まれ、これはステルスに焦点を当てたリモートアクセスワークフローと一致しています。ネットワークテレメトリーは、コマンドの取得とペイロードステージングに使用された香港の2つのC2 IPアドレスを特定しました。属性は Silver Fox の活動と一致し、コードの重複が SADBRIDGE.
を示しました。
緩和 疑わしい証明書の指紋 を使用し、NSISでパックされた偽のインストーラーを探し、アラートを上げます。インストーラーが配布したファイルセットの作成、関連するレジストリの修正、および Windows Defenderの除外の追加試行を監視します。特定されたC2 IPへのアウトバウンド接続をブロックし、無効または信頼されていない証明書を拒否するコード署名の制御を強化します。RPCに基づく持続性と一致するスケジュールタスクの作成シーケンスに対するEDR検出を追加します。 PoolParty Variant 7-スタイルのインジェクションパターン
対応
活動が疑われる場合、エンドポイントを隔離し、悪意あるプロセスを終了し、偽インストーラーとすべてのアーティファクトを削除します。追加の ValleyRAT モジュール
攻撃フロー
検出
可能なスケジュールタスクの作成 (PowerShell経由)
表示
疑わしいスケジュールタスク (監査経由)
表示
Rundll32 Dllの疑わしいパス実行 (プロセス作成経由)
表示
Windows Defenderの設定変更 (PowerShell経由)
表示
LOLBAS Regsvr32 (コマンドライン経由)
表示
IOC (DestinationIP) 表示: 偽のインストーラー: 最終的には、ValleyRATの感染
表示
IOC (HashSha1) 表示: 偽のインストーラー: 最終的には、ValleyRATの感染
表示
IOC (SourceIP) 表示: 偽のインストーラー: 最終的には、ValleyRATの感染
表示
Windows Defenderの除外とスケジュールタスクを使用した偽のインストーラーの検出 [Windows Powershell]
表示
Simulation Execution
Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.
Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.
-
Attack Narrative & Commands:
An attacker who has already compromised a low‑privilege account wishes to stage a payload on the compromised host while evading antivirus scanning. The attacker:- Uses PowerShell to add a Windows Defender exclusion that covers the entire C: drive, ensuring any malicious binaries placed there are invisible to Defender.
- In the same PowerShell invocation, registers a scheduled task that will launch the hidden payload (
C:Malwarepayload.ps1) every time a specific legitimate process (e.g.,explorer.exe) starts, providing persistence. - Because both actions are combined into a single command line, the telemetry matches the Sigma rule’s
selection1 and selection2condition, causing an alert.
-
Regression Test Script:
# ------------------------------------------------- # Fake Installer Simulation – Triggers Sigma Rule # ------------------------------------------------- # 1. Define exclusion path (entire C: drive) $exclusion = "C:" # 2. Define scheduled task details $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. Combine both commands into a single PowerShell command line $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. Invoke the combined command Invoke-Expression $combined -
Cleanup Commands:
# ------------------------------------------------- # Cleanup – Remove exclusion and scheduled task # ------------------------------------------------- # Remove the Defender exclusion for C: Remove-MpPreference -ExclusionPath "C:" # Delete the scheduled task Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false