Manuel Statik Analiz — KoiLoader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 6df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | sd4.ps1 (PowerShell script downloader versiyon 4) |
| Boyut | 478.131 byte (478KB PowerShell) |
| String Sayisi | 5.204 |
PowerShell Downloader: sd4.ps1
sd4.ps1 -- "sd" = Script Downloader -- "4" = dördüncü versiyon (önceki: sd1.ps1, sd2.ps1, sd3.ps1) -- PowerShell: Living-off-the-Land (LotL) tekniği -- .ps1 → Windows PowerShell Engine ile çalışır -- 478KB: büyük obfuskated PS script (base64 + XOR + gzip kombinasyonu)
C2: 37.49.226.113/index.php
C2 Tespit: Açık metin IP:port!
http://37.49.226.113/index.php -- IP: 37.49.226.113 (genel IP) -- /index.php = standart web gate (PHP panel) -- HTTP (HTTPS değil) → şifresiz iletişim -- index.php = KoiLoader ana C2 gate endpoint'i -- PowerShell → HTTP POST → 37.49.226.113 → payload alımı
XOR Şifreleme Anahtarı: 0xc2, 0x48, 0x96...
XOR Key Tespit:
0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30, 0x7a, 0x4a, 0x04, 0x41, 0x59, 0x29, 0x0... -- KoiLoader PS1 script içindeki XOR anahtarı byte dizisi -- C2'den alınan şifreli payload bu key ile XOR decode edilir -- 0xc2 = 194 (decimal) = XOR key ilk byte'ı -- Bu key ile decode: gzip → shellcode veya PE payload -- Key statik: kod değiştirilmeden aynı key ile tüm kampanya payloadları çözülür
KoiLoader Hakkında
KoiLoader 2024'te keşfedilen yeni PowerShell tabanlı loader. PowerShell Living-off-the-Land tekniğiyle AV tespitini zorlaştırır. Modüler: sd1-sd4.ps1 versiyonları giderek daha obfuskated. Payload: AgentTesla, RedLine, AsyncRAT gibi stealerler. RATS-1337 kampanya grubu kullanmaktadır.
IOC
| SHA256 | 6df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | 37.49.226.113 (/index.php) |
| XOR Key | 0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30... |
KoiLoader — Malware Profile
KoiLoader 2024 PowerShell LotL loader. sd4.ps1. 37.49.226.113 C2. 0xc2 XOR key. AgentTesla AsyncRAT payload.
Malware Type
Loader
Programming Language
PowerShell
C2 Protocol
HTTP
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — KoiLoader
# IP
37.49.226.113
| Type | Value | Note |
|---|---|---|
| ip | 37.49.226.113 |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 37.49.226.113 | ip | 80 | HTTP | active | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.