Manuel Statik Analiz — ValleyRat (Çin Kaynaklı RAT) | Tehdit: YUKSEK

파일 Kimliği

SHA256de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
FormatWindows EXE (orijinal ad: Unicode/Çince)
크기1.943.568 byte
String Sayisi8.459

C++ Kaynak 파일 Artifaktları

handler.cc    receiver.cc    sender.cc
manager.cc    responser.cc   start.cc
-- ".cc" = C++ kaynak dosyası uzantısı (Google stili)
-- Orijinal C++ kaynak dosya isimlerinden derlenmiş
-- "responser.cc" = tipik Çin geliştirici İngilizce yazımı ("responder" değil)
-- Mimari: handler/receiver/sender ayrımı = asenkron C2 protokolü

VM Tespit

wmic path Win32_ComputerSystem get HypervisorPresent
-- Hipervisor varlığı WMI ile kontrol
-- VM/sandbox tespiti
abox_version    -- ValleyRat özel config anahtarı
androws_version -- Versiyon bilgisi ("android"→"androws" yazım hatası?)
fail CreateMutex[%lu]: %s  -- C-style hata loglama (printf formatı)

ValleyRat Hakkında

ValleyRat, Silver APT grubuna atfedilen Çin menşeli RAT'tır. 2023'te keşfedildi. Çoğunlukla Çin merkezli finans, muhasebe ve yönetici personeli hedefler. Shellcode injection ve plugin tabanlı modüler yapıya sahiptir. DLL sideloading kullanır.

IOC

SHA256de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Configabox_version, androws_version
Anti-VMwmic HypervisorPresent

ValleyRAT — 악성코드 프로필

ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.

악성코드 유형
RAT
프로그래밍 언어
C++
C2 프로토콜
HTTP
대상 시스템
Windows

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (6 개 지표)

IOC — ValleyRat
# DOMAIN handler.cc # DOMAIN receiver.cc # DOMAIN sender.cc # DOMAIN manager.cc # DOMAIN responser.cc # DOMAIN start.cc
유형메모
domain handler.cc
domain receiver.cc
domain sender.cc
domain manager.cc
domain responser.cc
domain start.cc
태그
valleyratchinese-ratwmic-hypervisorpresentvm-detectioncc-source-artifactabox-versionandrows-version