Manuel Statik Analiz — PikaBot Loader | Tehdit: KRITIK

Dosya Kimliği

SHA256ce742b7cc94a5c66b358294bba3cd248fba8b880dae2a5c8b1f4d7e0c3a6b9d2
Dosya Adıpikabot_core.bin → .exe
Boyut333.312 byte
String Sayisi1.390

Gelişmiş Anti-Sandbox

NtQueryWnfStateData  -- Windows Notification Framework durum sorgusu (çift ref)
GetTickCount         -- Zamanlama tespiti
-- WNF tabanlı anti-sandbox, modern ve nadir görülen teknik!

PikaBot Hakkında

PikaBot, 2023'ten beri aktif olan gelişmiş loader ailesidir. QakBot'un dağıtım kanallarında QakBot yerine geçmiştir (Duck Hunt operasyonu sonrası). Gelişmiş anti-analiz teknikleri ve şifreli C2 iletişimi ile öne çıkar. Cobalt Strike, Brute Ratel C4 gibi post-exploitation araçları dağıtır. Email thread hijacking ile yayılır.

IOC

SHA256ce742b7cc94a5c66b358294bba3cd248fba8b880dae2a5c8b1f4d7e0c3a6b9d2
TeknikNtQueryWnfStateData anti-sandbox

PikaBot — Malware Profile

PikaBot modular loader. NtQuery dual anti-debug. Surrogate U+D800 JSON. Procurement lures.

Malware Type
Loader
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Windows

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — PikaBot
# SHA256 ce742b7cc94a5c66b358294bba3cd248fba8b880dae2a5c8b1f4d7e0c3a6b9d2
TypeValueNote
sha256 ce742b7cc94a5c66b358294bba3cd248fba8b880dae2a5c8b1f4d7e0c3a6b9d2
Tags
pikabotloaderntquerywnfanti-sandboxcobalt-strike-dropperqakbot-successor