Manuel Statik Analiz — PikaBot Loader | Tehdit: KRITIK

Dosya Kimliği

SHA25631f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıLisect_AVT_24003_G1B_54.exe
Boyut1.459.825 byte
String Sayisi9.405

Process Monitor (Procmon) Named Pipe Tespiti

Anti-Analiz: PikaBot, Sysinternals Process Monitor'ün varlığını named pipe üzerinden tespit ediyor!
\\.\Global\ProcmonDebugLogger
-- Procmon aktifken bu Named Pipe oluşur
-- PikaBot bu pipe'ın varlığını kontrol ediyor
-- Procmon çalışıyorsa malware çalışmayı durduruyor!
-- GetTickCount64 + NtQuerySystemInformation = çoklu anti-debug

NtCreateSection_Hook — Process Injection

Gelişmiş Enjeksiyon: Process Hollowing için NtCreateSection NT API'si hook'lanıyor!
NtCreateSection              -- NT kernel section objesi oluştur
NtCreateSection_Hook()       -- Fonksiyon hook'u
"cannot get NtCreateSection proc address"  -- Hata mesajı
"activating NtCreateSection_Hook"          -- Hook aktivasyon logu
[DLLPROTECT] :: NtCreateSection_Hook()     -- Özel DLL koruma modülü
-- Process Hollow: svchost.exe/notepad.exe içine kod enjekte et

PikaBot Hakkında

PikaBot, 2023'te IcedID'nin mirasını devralan sofistike bir loader'dır. QBot (Qakbot) operasyonunun kapatılmasından sonra ortaya çıkmış, TA577 tehdit aktörü tarafından dağıtılmaktadır. Cobalt Strike ve diğer post-exploitation araçları için yükleme yapar. Email spam kampanyaları ve malvertising yoluyla yayılır.

IOC

SHA25631f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Named Pipe\\.\Global\ProcmonDebugLogger (Procmon tespit)
EnjeksiyonNtCreateSection_Hook (NT API hooking)

PikaBot — Malware Profile

PikaBot modular loader. NtQuery dual anti-debug. Surrogate U+D800 JSON. Procurement lures.

Malware Type
Loader
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Windows

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — PikaBot
# SHA256 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
pikabotloaderprocmondebugloggerntcreatesection-hookdllprotectanti-analysisnamed-pipeprocmon-detection