Manuel Statik Analiz — PikaBot | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 31f530266fa3354af4a19735586e611fd9f8348bc2b3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| Dosya Adı | Lisect_AVT_24003_G1B_54.exe (procurement lürü) |
| Boyut | 1.459.825 byte (1.39MB) |
| String Sayisi | 9.405 |
NtQueryObject + NtQuerySystemInformation: Çift NT Anti-Debug
ÇİFT ANTI-DEBUG: NT katmanında iki farklı debug tespiti!
NtQueryObject -- NT nesnesi sorgula NtQuerySystemInformation -- NT sistem bilgisi sorgula GetTickCount64 -- 64-bit zamanlayıcı anti-debug -- NtQueryObject: debug nesnelerini say (handle count analizi) -- NtQuerySystemInformation: SystemKernelDebuggerInformation sorgusu -- İki farklı NT API: farklı AV bypass yöntemleri + çapraz doğrulama -- GetTickCount64: zamanlama kontrolü (sandbox gecikmesi tespiti)
surrogate U+D800..U+DBFF: JSON Unicode Doğrulama
invalid string: surrogate U+D800..U+DBFF must be followed by U+DC00. -- ValleyRAT, RisePro1, DanaBot ile AYNI hata! -- Ortak JSON kütüphanesi: birden fazla malware ailesinde paylaşılıyor -- C2 iletişiminde JSON doğrulama katmanı
IOC
| SHA256 | 31f530266fa3354af4a19735586e611fd9f8348bc2b3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| Lure | Lisect_AVT_24003_G1B_54.exe |
PikaBot — Malware Profile
PikaBot modular loader. NtQuery dual anti-debug. Surrogate U+D800 JSON. Procurement lures.
Malware Type
Loader
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Windows
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — PikaBot
# SHA256
31f530266fa3354af4a19735586e611fd9f8348bc2b3c5a4f7d0e2b6c9f1a3d6
| Type | Value | Note |
|---|---|---|
| sha256 | 31f530266fa3354af4a19735586e611fd9f8348bc2b3c5a4f7d0e2b6c9f1a3d6 |