Manuel Statik Analiz — PoisonIvy | Tehdit:

ファイル Kimliği

SHA25686ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
ファイル名Helpstore.exe ("Yardım merkezi" sahte uygulama)
サイズ1.596.928 byte (1.6MB)
String Sayisi6.850

Sandbox / VM Tespiti

VBOX               -- VirtualBox sanal makine string tespiti
IsDebuggerPresent  -- Debugger varlığı kontrolü
-- VirtualBox kuruluysa (VBOX sürücüsü/registry) çalışmayı reddeder
-- Analiz ortamlarında tespiti önler

PoisonIvy Hakkında

PoisonIvy, Çin'de 2005'te geliştirilen ve 2008'de kaynak kodu sızan RAT'tır. Uzun yıllar Çin siber casusluk grupları (Comment Crew / APT1, Deep Panda, APT10, Naikon) tarafından devlet hedefli saldırılarda kullanıldı. MD5: AB3C26C5DE87B0C62DA71F... Şifrelenmiş C2, keylogger, ekran görüntüsü, remote shell, USB propagation.

IOC

SHA25686ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
KamuflajHelpstore.exe
Anti-VMVBOX string tespiti

PoisonIvy2 — マルウェアプロファイル

PoisonIvy 2005 Cin kaynakli APT araci. VBOX tespiti. Helpstore.exe. APT1/APT10/Naikon kullanimi. 2008 kaynak sizin.

マルウェアの種類
RAT
プログラミング言語
Delphi/C
C2プロトコル
TCP/Custom
標的システム
Devlet Hedefleri

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (1 件の指標)

IOC — PoisonIvy2
# SHA256 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
タイプメモ
sha256 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
タグ
poisonivyhelpstore-exevbox-detectionvirtualbox-stringanti-debugapt-chinamalware-kit