Manuel Statik Analiz — ValleyRat (Çin Kaynaklı RAT) | Tehdit: YUKSEK
ファイル Kimliği
| SHA256 | de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Format | Windows EXE (orijinal ad: Unicode/Çince) |
| サイズ | 1.943.568 byte |
| String Sayisi | 8.459 |
C++ Kaynak ファイル Artifaktları
handler.cc receiver.cc sender.cc
manager.cc responser.cc start.cc
-- ".cc" = C++ kaynak dosyası uzantısı (Google stili)
-- Orijinal C++ kaynak dosya isimlerinden derlenmiş
-- "responser.cc" = tipik Çin geliştirici İngilizce yazımı ("responder" değil)
-- Mimari: handler/receiver/sender ayrımı = asenkron C2 protokolü
VM Tespit
wmic path Win32_ComputerSystem get HypervisorPresent
-- Hipervisor varlığı WMI ile kontrol
-- VM/sandbox tespiti
abox_version -- ValleyRat özel config anahtarı
androws_version -- Versiyon bilgisi ("android"→"androws" yazım hatası?)
fail CreateMutex[%lu]: %s -- C-style hata loglama (printf formatı)
ValleyRat Hakkında
ValleyRat, Silver APT grubuna atfedilen Çin menşeli RAT'tır. 2023'te keşfedildi. Çoğunlukla Çin merkezli finans, muhasebe ve yönetici personeli hedefler. Shellcode injection ve plugin tabanlı modüler yapıya sahiptir. DLL sideloading kullanır.
IOC
| SHA256 | de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Config | abox_version, androws_version |
| Anti-VM | wmic HypervisorPresent |
ValleyRAT — マルウェアプロファイル
ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.
マルウェアの種類
RAT
プログラミング言語
C++
C2プロトコル
HTTP
標的システム
Windows
機能と挙動
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOCリスト (6 件の指標)
IOC — ValleyRat
# DOMAIN
handler.cc
# DOMAIN
receiver.cc
# DOMAIN
sender.cc
# DOMAIN
manager.cc
# DOMAIN
responser.cc
# DOMAIN
start.cc
| タイプ | 値 | メモ |
|---|---|---|
| domain | handler.cc | |
| domain | receiver.cc | |
| domain | sender.cc | |
| domain | manager.cc | |
| domain | responser.cc | |
| domain | start.cc |