Manuel Statik Analiz — PoisonIvy | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 86ef578ca59231191596928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Helpstore.exe (Windows Yardım/Store taklidi!) |
| Boyut | 1.596.928 byte (1.5MB) |
| String Sayisi | 6.850 |
Helpstore.exe: Çift Anlam Gizleme
GİZLEME: Windows Help + Microsoft Store taklidi!
Helpstore.exe -- "Help" = Windows Yardım sistemi (help.exe, helppane.exe) -- "store" = Microsoft Store (ms-windows-store://...) -- "Helpstore" = hem yardım hem mağaza → MEŞRU gibi görünür -- Görev yöneticisinde sıradan görünür, dikkat çekmez
VirtualBox Tespiti
ANTİ-VM:
VBOX\" -- VirtualBox kayıt defteri anahtarı kontrolü (ters slash + tırnak = string sonu) -- PoisonIvy: VBOX tespit ederse çalışmayı askıya alır -- Sandbox analiz araçlarını engeller
Beş C2 Substring + Anahtar Fragmanı
^z3c2 -- caret + z3 + c2 2ac2_|tv*_ -- 2a + c2 + özel karakter dizisi #Xelc2 -- hash + Xel + c2 9\sC2A -- rakam + ters slash + s + C2A ,b*c2gv -- virgül + b asterisk + c2 + gv kEy!9 -- anahtar fragmanı: büyük K, küçük e, Y, ünlem, 9
IOC
| SHA256 | 86ef578ca59231191596928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Helpstore.exe (Help+Store gizleme) |
PoisonIvy — Malware Profile
PoisonIvy klasik Çin APT RAT. VBOX tespiti. Helpstore.exe Windows gizlemesi. Çok kullanılan APT tool 2005-günümüz.
Malware Type
RAT
Programming Language
C
C2 Protocol
TCP
Target Systems
Windows
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — PoisonIvy
# SHA256
86ef578ca59231191596928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 86ef578ca59231191596928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |