Manuel Statik Analiz — PikaBot | Tehdit: YUKSEK

Dosya Kimliği

SHA25631f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut1.459.825 byte (1.4MB)
String Sayisi9.405

JSON C2 Protokolü: Unicode Surrogate Pair Hatası

C2 PROTOKOL: PikaBot JSON üzerinden C2 iletişimi!
invalid string: surrogate U+D800..U+DBFF must be followed by U+DC00..U+DFFF
-- Bu hata mesajı gömülü JSON kütüphanesinden (simdjson/rapidjson)
-- PikaBot: C2 sunucusuyla JSON mesajlaşma protokolü kullanıyor
-- Hata: yüksek surrogate (U+D800–U+DBFF) sonrası düşük surrogate gelmemesi
-- JSON içinde Unicode string işleme → C2 komutları JSON paketinde taşınıyor
-- Hata mesajının varlığı: C2 kanalında Unicode içerik işleniyor

Üçlü Anti-Analiz API

ANTİ-ANALİZ:
GetTickCount64          -- Yüksek çözünürlüklü zaman kontrolü (timing anti-debug)
NtQueryObject           -- Handle listesi sorgulama (debugger port tespiti)
NtQuerySystemInformation -- Sistem bilgisi (VM/sandbox tespiti)
-- Üçlü kontrol: sandbox'ta çalışıyorsa farklı davranır
-- NtQueryObject → DebugObject handle var mı?
-- NtQuerySystemInformation → sistem CPU/process sayısı normal mi?

IOC

SHA25631f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
ProtokolJSON (Unicode surrogate pair kontrolü)
Anti-AnalizNtQueryObject, NtQuerySystemInformation, GetTickCount64

PikaBot — Malware Profile

PikaBot modular loader. NtQuery dual anti-debug. Surrogate U+D800 JSON. Procurement lures.

Malware Type
Loader
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Windows

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — PikaBot
# SHA256 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
pikabotjson-surrogate-pair-erroru-d800-u-dbff-errorc2-json-protocolntqueryobject-anti-analysisntquerysysteminformationgettickcountcomp