ValleyRAT恶意样本分析教学文档<\/h1>

1. 样本概述<\/h2>

1.1 基本信息<\/h3>

样本名称<\/strong>：villa.exe<\/li>
文件大小<\/strong>：18031013字节<\/li>

哈希值<\/strong>：

MD5：14521699F0184011A3F083DDFBBB0BCA<\/li>
SHA1：0D32CF02611A158E4D9A955D13F26680DB836E3E<\/li>
CRC32：25C8AD9F<\/li> <\/ul> <\/li> <\/ul>
1.2 攻击背景<\/h3>

归属组织：银狐组织（SilverFox）<\/li>
恶意软件家族：ValleyRAT<\/li>
攻击目标：中国地区用户<\/li>
相关事件：Chrome Installer Impersonation Campaign<\/li> <\/ul>
2. 样本结构分析<\/h2>
2.1 打包方式<\/h3>

打包工具<\/strong>：PyInstaller（Python 3.11版本）<\/li>
特征字符串<\/strong>：PyInstaller相关标识<\/li>
反编译工具<\/strong>：

pyinstxtractor-ng：提取pyc文件<\/li>
pylingual：转换pyc为py文件<\/li> <\/ul> <\/li> <\/ul>
2.2 文件结构<\/h3>
样本包含三个主要文件：<\/p>

villa.exe<\/strong>：主加载器<\/li>
卡尔别墅.pptx<\/strong>：正常文件（诱饵文档）<\/li>
BGL.exe<\/strong>：核心恶意组件<\/li> <\/ol>
3. 技术分析流程<\/h2>
3.1 Python反编译分析<\/h3>
3.1.1 提取ZIP压缩包<\/h4>

位置<\/strong>：文件末尾16字节<\/li>
数据结构<\/strong>：

ZIP文件大小：8字节（0x99EED6）<\/li>
Magic Number：8字节（0xDEADBEEFCAFEBABE）<\/li> <\/ul> <\/li> <\/ul>
3.1.2 解压执行流程<\/h4>
# 创建临时目录<\/span> <\/span><\/span>temp_dir =<\/span> 'packer_temp_{os.getpid()}_{uuid.uuid4().hex}'<\/span> <\/span><\/span># 解压文件并执行<\/span> <\/span><\/span><\/code><\/pre>3.2 BGL.exe分析<\/h3> 3.2.1 保护机制<\/h4> 加壳方式<\/strong>：UPX壳<\/li> 脱壳方法<\/strong>：标准UPX脱壳工具<\/li> <\/ul> 3.2.2 代码修复技术<\/h4> 修复内容<\/strong>：syscall调用代码<\/li> 原始字节<\/strong>：6B 00 00 73 6B 00 00 74<\/li> 修复后字节<\/strong>：0F 05 90 90 C3 90 CC CC<\/li> 技术原理<\/strong>：动态修改内存中的系统调用指令<\/li> <\/ul> 3.3 Shellcode解密流程<\/h3> 3.3.1 Shellcode1<\/h4> 长度<\/strong>：0xBBA字节<\/li> 解密方式<\/strong>：自定义解密算法<\/li> 加载函数<\/strong>： NtAllocateVirtualMemory<\/li> NtProtectVirtualMemory<\/li> NtCreateThreadEx<\/li> NtQuerySystemTime<\/li> <\/ul> <\/li> <\/ul> 3.3.2 配置信息提取<\/h4> 配置格式<\/strong>：<\/p> |p1:108.187.7.15|o1:447|t1:1|p2:108.187.7.15|o2:448|t2:1|p3:127.0.0.1|o3:80|t3:1|dd:1|cl:1|fz:默认|bb:1.0|bz:2025.11.8|jp:0|bh:0|ll:0|dl:0|sh:1|kl:1|bd:0| <\/code><\/pre> 关键配置<\/strong>：<\/p> C&C服务器：108.187.7.15:447、108.187.7.15:448<\/li> 生成时间：2025年11月8日<\/li> 备用地址：127.0.0.1:80<\/li> <\/ul> 3.3.3 通信机制<\/h4> 通信方式<\/strong>：TCP连接<\/li> 初始数据<\/strong>：发送"64"字节<\/li> 数据加密<\/strong>：XOR算法加密<\/li> <\/ul> 3.4 Shellcode2分析<\/h3> 3.4.1 PE文件加载<\/h4> 文件类型<\/strong>：DLL（上线模块.dll）<\/li> 加载方式<\/strong>：自加载技术<\/li> 入口函数<\/strong>：DllMain → load函数<\/li> <\/ul> 3.4.2 ValleyRAT特征<\/h4> 注册表路径<\/strong>：Console \ 1<\/li> 插件存储键<\/strong>：d33f351a4aeea5e608853d1a56661059<\/li> <\/ul> 4. 网络通信分析<\/h2> 4.1 通信数据解密<\/h3> 加密方式<\/strong>：XOR加密<\/li> 密钥特征<\/strong>："6666"字符串重复模式<\/li> 解密验证<\/strong>：可通过密钥成功解密通信内容<\/li> <\/ul> 4.2 插件下载机制<\/h3> 插件名称<\/strong>：登录模块.dll<\/li> 下载方式<\/strong>：C&C服务器动态下发<\/li> 配置更新<\/strong>：运行时自动更新外联地址<\/li> <\/ul> 5. 内存取证分析<\/h2> 5.1 内存中提取的文件<\/h3> 上线模块.dll<\/strong>（原始文件）<\/p> MD5：98C3D0A794084AADB18786C41C088A19<\/li> <\/ul> <\/li> 登录模块.dll<\/strong>（内存版本1）<\/p> MD5：2E050D2E969CDAD4772DC0D47D577572<\/li> 大小：314368字节<\/li> <\/ul> <\/li> 登录模块.dll<\/strong>（内存版本2）<\/p> MD5：47ED16D677AF0DC440B79E233625D5C4<\/li> 大小：313856字节<\/li> <\/ul> <\/li> <\/ol> 5.2 内存驻留技术<\/h3> 多实例加载<\/strong>：同一模块在内存中存在多个副本<\/li> 配置动态更新<\/strong>：不同实例具有不同的外联配置<\/li> <\/ul> 6. 溯源分析<\/h2> 6.1 同源分析<\/h3> 代码特征<\/strong>：与已知ValleyRAT样本高度相似<\/li> 攻击手法<\/strong>：与银狐组织WinOS样本存在关联<\/li> 平台识别<\/strong>：多个沙箱平台标记为ValleyRAT<\/li> <\/ul> 6.2 时间线分析<\/h3> 样本编译时间<\/strong>：2025年11月8日<\/li> 诱饵文档时间<\/strong>：2025年11月8日02:18:17<\/li> 恶意组件时间<\/strong>：2025年11月8日01:53:25<\/li> <\/ul> 7. 检测与防护建议<\/h2> 7.1 检测指标（IOCs）<\/h3> 网络指标<\/strong>：<\/p> 108.187.7.15:447（中国香港）<\/li> 108.187.7.15:448（中国香港）<\/li> <\/ul> 文件指标<\/strong>：<\/p> 文件名<\/th> MD5<\/th> 类型<\/th> <\/tr> <\/thead> villa.exe<\/td> 14521699F0184011A3F083DDFBBB0BCA<\/td> 加载器<\/td> <\/tr> 卡尔别墅.pptx<\/td> F21AE39CF0B937D5BE8B76CBD3E76A97<\/td> 诱饵文档<\/td> <\/tr> BGL.exe<\/td> 471D308CDD98A7D99CC35AF15505719D<\/td> 恶意组件<\/td> <\/tr> 上线模块.dll<\/td> 98C3D0A794084AADB18786C41C088A19<\/td> RAT模块<\/td> <\/tr> 登录模块.dll<\/td> 695485ECA04998D2E4D7BDE212465F45<\/td> 插件<\/td> <\/tr> <\/tbody> <\/table> 7.2 防护措施<\/h3> 行为监控<\/strong>：<\/p> 监控%temp%目录的可执行文件创建<\/li> 检测PyInstaller打包文件的异常行为<\/li> <\/ul> <\/li> 网络防护<\/strong>：<\/p> 阻断与香港IP地址的异常连接<\/li> 监控包含"6666"模式的加密流量<\/li> <\/ul> <\/li> 内存检测<\/strong>：<\/p> 检测多实例DLL加载行为<\/li> 监控syscall代码修改行为<\/li> <\/ul> <\/li> <\/ol> 8. 分析工具总结<\/h2> 静态分析<\/strong>：<\/p> pyinstxtractor-ng（Python解包）<\/li> pylingual（反编译）<\/li> UPX脱壳工具<\/li> <\/ul> <\/li> 动态分析<\/strong>：<\/p> 调试器（OllyDbg\/x64dbg）<\/li> 沙箱环境（微步沙箱等）<\/li> <\/ul> <\/li> 网络分析<\/strong>：<\/p> Wireshark（流量捕获）<\/li> 自定义解密脚本（XOR解密）<\/li> <\/ul> <\/li> <\/ol> 9. 技术要点总结<\/h2> 多层加载<\/strong>：Python加载器→Native可执行文件→Shellcode→PE文件<\/li> 反检测技术<\/strong>：UPX加壳、代码动态修复、多阶段解密<\/li> 持久化机制<\/strong>：通过注册表存储插件信息<\/li> 通信加密<\/strong>：简单的XOR加密，但密钥设计具有特征性<\/li> 模块化设计<\/strong>：支持动态插件下载和更新<\/li> <\/ol> 本教学文档详细记录了ValleyRAT样本的完整分析过程，涵盖了从初始加载到最终RAT模块执行的全链条技术细节，为安全研究人员提供完整的技术参考。<\/p>

文件名<\/th>	MD5<\/th>	类型<\/th> <\/tr> <\/thead>
villa.exe<\/td>	14521699F0184011A3F083DDFBBB0BCA<\/td>	加载器<\/td> <\/tr>
卡尔别墅.pptx<\/td>	F21AE39CF0B937D5BE8B76CBD3E76A97<\/td>	诱饵文档<\/td> <\/tr>
BGL.exe<\/td>	471D308CDD98A7D99CC35AF15505719D<\/td>	恶意组件<\/td> <\/tr>
上线模块.dll<\/td>	98C3D0A794084AADB18786C41C088A19<\/td>	RAT模块<\/td> <\/tr>
登录模块.dll<\/td>	695485ECA04998D2E4D7BDE212465F45<\/td>	插件<\/td> <\/tr> <\/tbody> <\/table> 7.2 防护措施<\/h3> 行为监控<\/strong>：<\/p> 监控%temp%目录的可执行文件创建<\/li> 检测PyInstaller打包文件的异常行为<\/li> <\/ul> <\/li> 网络防护<\/strong>：<\/p> 阻断与香港IP地址的异常连接<\/li> 监控包含"6666"模式的加密流量<\/li> <\/ul> <\/li> 内存检测<\/strong>：<\/p> 检测多实例DLL加载行为<\/li> 监控syscall代码修改行为<\/li> <\/ul> <\/li> <\/ol> 8. 分析工具总结<\/h2> 静态分析<\/strong>：<\/p> pyinstxtractor-ng（Python解包）<\/li> pylingual（反编译）<\/li> UPX脱壳工具<\/li> <\/ul> <\/li> 动态分析<\/strong>：<\/p> 调试器（OllyDbg\/x64dbg）<\/li> 沙箱环境（微步沙箱等）<\/li> <\/ul> <\/li> 网络分析<\/strong>：<\/p> Wireshark（流量捕获）<\/li> 自定义解密脚本（XOR解密）<\/li> <\/ul> <\/li> <\/ol> 9. 技术要点总结<\/h2> 多层加载<\/strong>：Python加载器→Native可执行文件→Shellcode→PE文件<\/li> 反检测技术<\/strong>：UPX加壳、代码动态修复、多阶段解密<\/li> 持久化机制<\/strong>：通过注册表存储插件信息<\/li> 通信加密<\/strong>：简单的XOR加密，但密钥设计具有特征性<\/li> 模块化设计<\/strong>：支持动态插件下载和更新<\/li> <\/ol> 本教学文档详细记录了ValleyRAT样本的完整分析过程，涵盖了从初始加载到最终RAT模块执行的全链条技术细节，为安全研究人员提供完整的技术参考。<\/p>