本篇聚焦在銀狐完成環境鋪設後,真正的 ValleyRAT 如何被載入、上線並長期存活。透過 DLL 側載,由這支載入器同時拉起三條執行緒:包含 payload 解密與執行、rootkit註冊、Defender 排除路徑等手法,使得單純刪除落地檔案或封鎖 C2 都不足以讓端點恢復乾淨。
本篇文章已投稿至 Medium,請由以下連結觀看全文
全文連結:Medium
其實這一個樣本的分析過程還藏了不少有趣的手法,不過篇幅原因就沒有再加進去了。
總之,希望您看的開心 OwO/
本篇聚焦在銀狐完成環境鋪設後,真正的 ValleyRAT 如何被載入、上線並長期存活。透過 DLL 側載,由這支載入器同時拉起三條執行緒:包含 payload 解密與執行、rootkit註冊、Defender 排除路徑等手法,使得單純刪除落地檔案或封鎖 C2 都不足以讓端點恢復乾淨。
本篇文章已投稿至 Medium,請由以下連結觀看全文
全文連結:Medium
其實這一個樣本的分析過程還藏了不少有趣的手法,不過篇幅原因就沒有再加進去了。
總之,希望您看的開心 OwO/