Manuel Statik Analiz — PoisonIvy | Tehdit: ORTA

Dosya Kimliği

SHA25686ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıHelpstore.exe ("Yardım merkezi" sahte uygulama)
Boyut1.596.928 byte (1.6MB)
String Sayisi6.850

Sandbox / VM Tespiti

VBOX               -- VirtualBox sanal makine string tespiti
IsDebuggerPresent  -- Debugger varlığı kontrolü
-- VirtualBox kuruluysa (VBOX sürücüsü/registry) çalışmayı reddeder
-- Analiz ortamlarında tespiti önler

PoisonIvy Hakkında

PoisonIvy, Çin'de 2005'te geliştirilen ve 2008'de kaynak kodu sızan RAT'tır. Uzun yıllar Çin siber casusluk grupları (Comment Crew / APT1, Deep Panda, APT10, Naikon) tarafından devlet hedefli saldırılarda kullanıldı. MD5: AB3C26C5DE87B0C62DA71F... Şifrelenmiş C2, keylogger, ekran görüntüsü, remote shell, USB propagation.

IOC

SHA25686ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
KamuflajHelpstore.exe
Anti-VMVBOX string tespiti

PoisonIvy2 — Malware Profile

PoisonIvy 2005 Cin kaynakli APT araci. VBOX tespiti. Helpstore.exe. APT1/APT10/Naikon kullanimi. 2008 kaynak sizin.

Malware Type
RAT
Programming Language
Delphi/C
C2 Protocol
TCP/Custom
Target Systems
Devlet Hedefleri

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — PoisonIvy2
# SHA256 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
TypeValueNote
sha256 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
Tags
poisonivyhelpstore-exevbox-detectionvirtualbox-stringanti-debugapt-chinamalware-kit