Manuel Statik Analiz — ValleyRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Çince karakter isimli .exe (Çin hedefli lür!) |
| Boyut | 1.943.568 byte (1.85MB) |
| String Sayisi | 8.459 |
wmic HypervisorPresent: WMI ile VM Tespiti
VM KAÇIŞ: WMI hypervisor varlık kontrolü!
wmic path Win32_ComputerSystem get HypervisorPresent -- Win32_ComputerSystem.HypervisorPresent = true ise sanal makine! -- wmic komut satırı ile: powershell gerektirmez, doğrudan wmic -- Sandbox/VM: VMware, Hyper-V, VirtualBox → HypervisorPresent=True -- ValleyRAT: VM tespiti → çalışmayı durdurur / sessiz kalır -- GetTickCount + GetTickCount64: çift zamanlama anti-debug de var
invalid string: surrogate
invalid string: surro[gate pair] -- UTF-16 vekil çifti hatası (lone surrogate) -- ValleyRAT: C2'den gelen string verisi UTF-16 doğrulamasına tabi tutulmuş -- Aynı hata: PikaBot ve diğer JSON tabanlı C2 protokollerinde görüldü -- C2 protokolü: JSON veya XML → string doğrulama katmanı var
Mutex ve IPC Hata Mesajları
fail CreateMutex[%lu]: %s fail ReleaseMutex[%lu] fail: send, there is no receiver on this connection. -- Mutex başarısız: format string ile hata kodu -- "no receiver on this connection" = named pipe / IPC bağlantısı kesildi -- ValleyRAT: bileşenler arası IPC için named pipe kullanıyor
IOC
| SHA256 | de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Hedef | Çin (Çince dosya adı) |
ValleyRAT — Malware Profile
ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.
Malware Type
RAT
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — ValleyRAT
# SHA256
de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |