Manuel Statik Analiz — ValleyRAT | Tehdit: YUKSEK
文件 Kimliği
| SHA256 | de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4 |
|---|---|
| 文件名 | 点击切换简体中文语言包.exe (Basitleştirilmiş Çince dil paketi) |
| 大小 | 1.943.568 byte (1.9MB) |
| String Sayisi | 8.459 |
Çince Dil Paketi Kamuflajı
Lure: "点击切换简体中文语言包.exe" = "Basitleştirilmiş Çince dil paketine geçmek için tıklayın" — Çinli kullanıcıları hedefleme!
WMI Hypervisor Tespiti
wmic path Win32_ComputerSystem get HypervisorPresent -- WMI üzerinden sanal makine tespiti (GetTickCount ile birlikte) GetTickCount, GetTickCount64 -- Zamanlama anti-sandbox
C++ Kaynak 文件 İpuçları
handler.cc, manager.cc, receiver.cc, sender.cc responser.cc -- "responder" yerine "responser" = Çinli geliştirici İngilizce yazım hatası! start.cc -- C++ kaynak dosya referansları
IOC
| SHA256 | de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4 |
|---|---|
| Lure | Çince dil paketi (点击切换简体中文语言包) |
| Dev Hatası | responser.cc (İngilizce typo) |
ValleyRAT — 恶意软件档案
ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.
恶意软件类型
RAT
编程语言
C++
C2协议
HTTP
目标系统
Windows
能力与行为
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC列表 (1 个指标)
IOC — ValleyRAT
# SHA256
de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4 |