Manuel Statik Analiz — ValleyRAT | Tehdit: YUKSEK

파일 Kimliği

SHA256de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
파일 이름点击切换简体中文语言包.exe (Basitleştirilmiş Çince dil paketi)
크기1.943.568 byte (1.9MB)
String Sayisi8.459

Çince Dil Paketi Kamuflajı

Lure: "点击切换简体中文语言包.exe" = "Basitleştirilmiş Çince dil paketine geçmek için tıklayın" — Çinli kullanıcıları hedefleme!

WMI Hypervisor Tespiti

wmic path Win32_ComputerSystem get HypervisorPresent
-- WMI üzerinden sanal makine tespiti (GetTickCount ile birlikte)
GetTickCount, GetTickCount64  -- Zamanlama anti-sandbox

C++ Kaynak 파일 İpuçları

handler.cc, manager.cc, receiver.cc, sender.cc
responser.cc  -- "responder" yerine "responser" = Çinli geliştirici İngilizce yazım hatası!
start.cc      -- C++ kaynak dosya referansları

IOC

SHA256de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
LureÇince dil paketi (点击切换简体中文语言包)
Dev Hatasıresponser.cc (İngilizce typo)

ValleyRAT — 악성코드 프로필

ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.

악성코드 유형
RAT
프로그래밍 언어
C++
C2 프로토콜
HTTP
대상 시스템
Windows

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — ValleyRAT
# SHA256 de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
유형메모
sha256 de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
태그
valleyratchina-aptchinese-lurewmi-hypervisorcpp-sourceanti-vm