Manuel Statik Analiz — ValleyRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA256de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıÇince karakter isimli .exe (Çin hedefli lür!)
Boyut1.943.568 byte (1.85MB)
String Sayisi8.459

wmic HypervisorPresent: WMI ile VM Tespiti

VM KAÇIŞ: WMI hypervisor varlık kontrolü!
wmic path Win32_ComputerSystem get HypervisorPresent
-- Win32_ComputerSystem.HypervisorPresent = true ise sanal makine!
-- wmic komut satırı ile: powershell gerektirmez, doğrudan wmic
-- Sandbox/VM: VMware, Hyper-V, VirtualBox → HypervisorPresent=True
-- ValleyRAT: VM tespiti → çalışmayı durdurur / sessiz kalır
-- GetTickCount + GetTickCount64: çift zamanlama anti-debug de var

invalid string: surrogate

invalid string: surro[gate pair]
-- UTF-16 vekil çifti hatası (lone surrogate)
-- ValleyRAT: C2'den gelen string verisi UTF-16 doğrulamasına tabi tutulmuş
-- Aynı hata: PikaBot ve diğer JSON tabanlı C2 protokollerinde görüldü
-- C2 protokolü: JSON veya XML → string doğrulama katmanı var

Mutex ve IPC Hata Mesajları

fail CreateMutex[%lu]: %s
fail ReleaseMutex[%lu]
fail: send, there is no receiver on this connection.
-- Mutex başarısız: format string ile hata kodu
-- "no receiver on this connection" = named pipe / IPC bağlantısı kesildi
-- ValleyRAT: bileşenler arası IPC için named pipe kullanıyor

IOC

SHA256de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
HedefÇin (Çince dosya adı)

ValleyRAT — Malware Profile

ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.

Malware Type
RAT
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — ValleyRAT
# SHA256 de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
valleyratchinese-filename-targetingwmic-hypervisorpresent-vm-detectwin32-computersysteminvalid-surrogate-pairfail-createmutexfail-releasemutexchinese-apt