Manuel Statik Analiz — KoiLoader | Tehdit: YUKSEK

Dosya Kimliği

SHA2566df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adısd4.ps1 (PowerShell script downloader versiyon 4)
Boyut478.131 byte (478KB PowerShell)
String Sayisi5.204

PowerShell Downloader: sd4.ps1

sd4.ps1
-- "sd" = Script Downloader
-- "4" = dördüncü versiyon (önceki: sd1.ps1, sd2.ps1, sd3.ps1)
-- PowerShell: Living-off-the-Land (LotL) tekniği
-- .ps1 → Windows PowerShell Engine ile çalışır
-- 478KB: büyük obfuskated PS script (base64 + XOR + gzip kombinasyonu)

C2: 37.49.226.113/index.php

C2 Tespit: Açık metin IP:port!
http://37.49.226.113/index.php
-- IP: 37.49.226.113 (genel IP)
-- /index.php = standart web gate (PHP panel)
-- HTTP (HTTPS değil) → şifresiz iletişim
-- index.php = KoiLoader ana C2 gate endpoint'i
-- PowerShell → HTTP POST → 37.49.226.113 → payload alımı

XOR Şifreleme Anahtarı: 0xc2, 0x48, 0x96...

XOR Key Tespit:
0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30,
0x7a, 0x4a, 0x04, 0x41, 0x59, 0x29, 0x0...
-- KoiLoader PS1 script içindeki XOR anahtarı byte dizisi
-- C2'den alınan şifreli payload bu key ile XOR decode edilir
-- 0xc2 = 194 (decimal) = XOR key ilk byte'ı
-- Bu key ile decode: gzip → shellcode veya PE payload
-- Key statik: kod değiştirilmeden aynı key ile tüm kampanya payloadları çözülür

KoiLoader Hakkında

KoiLoader 2024'te keşfedilen yeni PowerShell tabanlı loader. PowerShell Living-off-the-Land tekniğiyle AV tespitini zorlaştırır. Modüler: sd1-sd4.ps1 versiyonları giderek daha obfuskated. Payload: AgentTesla, RedLine, AsyncRAT gibi stealerler. RATS-1337 kampanya grubu kullanmaktadır.

IOC

SHA2566df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C237.49.226.113 (/index.php)
XOR Key0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30...

KoiLoader — Malware Profile

KoiLoader 2024 PowerShell LotL loader. sd4.ps1. 37.49.226.113 C2. 0xc2 XOR key. AgentTesla AsyncRAT payload.

Malware Type
Loader
Programming Language
PowerShell
C2 Protocol
HTTP
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — KoiLoader
# IP 37.49.226.113
TypeValueNote
ip 37.49.226.113

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
37.49.226.113 ip 80 HTTP active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
koiloadersd4-ps1-powershell37-49-226-113-c2index-php-gate0xc2-xor-keyxor-decryption-keypowershell-downloader