Manuel Statik Analiz — ValleyRAT (Çin APT) | Tehdit: KRITIK
文件 Kimliği
| SHA256 | f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f |
|---|---|
| 文件名 | explorer.exe (Windows Gezgini taklidi!) |
| 大小 | 171.640 byte |
| String Sayisi | 925 |
explorer.exe Kamuflajı
Tehlike: Windows Explorer çalıştırılabilir dosyasını taklit eder. İşlem listesinde meşru gibi görünür.
Registry Kalıcılığı
RegCreateKeyW -- Registry oluşturma/kalıcılık RegOpenKeyExW -- Registry okuma (mevcut kalıcılık kontrol) RegSetValueExW -- Registry değer yazma
ValleyRAT Hakkında
ValleyRAT, Silver Fox APT (Çin menşeli) tarafından geliştirildiği değerlendirilen C++ tabanlı RAT ailesidir. Finansal sektörü hedef alan spear-phishing kampanyalarında kullanılmıştır. çoklu aşamalı yükleme (dropper → loader → RAT), shellcode çalıştırma ve keylogging yetenekleri içerir.
IOC
| SHA256 | f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f |
|---|---|
| Kamuflaj | explorer.exe (Windows Gezgini) |
ValleyRAT — 恶意软件档案
ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.
恶意软件类型
RAT
编程语言
C++
C2协议
HTTP
目标系统
Windows
能力与行为
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC列表 (1 个指标)
IOC — ValleyRAT
# SHA256
f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f |