Manuel Statik Analiz — ValleyRat (Çin Kaynaklı RAT) | Tehdit: YUKSEK
文件 Kimliği
| SHA256 | de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Format | Windows EXE (orijinal ad: Unicode/Çince) |
| 大小 | 1.943.568 byte |
| String Sayisi | 8.459 |
C++ Kaynak 文件 Artifaktları
handler.cc receiver.cc sender.cc
manager.cc responser.cc start.cc
-- ".cc" = C++ kaynak dosyası uzantısı (Google stili)
-- Orijinal C++ kaynak dosya isimlerinden derlenmiş
-- "responser.cc" = tipik Çin geliştirici İngilizce yazımı ("responder" değil)
-- Mimari: handler/receiver/sender ayrımı = asenkron C2 protokolü
VM Tespit
wmic path Win32_ComputerSystem get HypervisorPresent
-- Hipervisor varlığı WMI ile kontrol
-- VM/sandbox tespiti
abox_version -- ValleyRat özel config anahtarı
androws_version -- Versiyon bilgisi ("android"→"androws" yazım hatası?)
fail CreateMutex[%lu]: %s -- C-style hata loglama (printf formatı)
ValleyRat Hakkında
ValleyRat, Silver APT grubuna atfedilen Çin menşeli RAT'tır. 2023'te keşfedildi. Çoğunlukla Çin merkezli finans, muhasebe ve yönetici personeli hedefler. Shellcode injection ve plugin tabanlı modüler yapıya sahiptir. DLL sideloading kullanır.
IOC
| SHA256 | de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Config | abox_version, androws_version |
| Anti-VM | wmic HypervisorPresent |
ValleyRAT — 恶意软件档案
ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.
恶意软件类型
RAT
编程语言
C++
C2协议
HTTP
目标系统
Windows
能力与行为
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC列表 (6 个指标)
IOC — ValleyRat
# DOMAIN
handler.cc
# DOMAIN
receiver.cc
# DOMAIN
sender.cc
# DOMAIN
manager.cc
# DOMAIN
responser.cc
# DOMAIN
start.cc
| 类型 | 值 | 备注 |
|---|---|---|
| domain | handler.cc | |
| domain | receiver.cc | |
| domain | sender.cc | |
| domain | manager.cc | |
| domain | responser.cc | |
| domain | start.cc |