Manuel Statik Analiz — ValleyRat (Çin Kaynaklı RAT) | Tehdit: YUKSEK

Dosya Kimliği

SHA256de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
FormatWindows EXE (orijinal ad: Unicode/Çince)
Boyut1.943.568 byte
String Sayisi8.459

C++ Kaynak Dosya Artifaktları

handler.cc    receiver.cc    sender.cc
manager.cc    responser.cc   start.cc
-- ".cc" = C++ kaynak dosyası uzantısı (Google stili)
-- Orijinal C++ kaynak dosya isimlerinden derlenmiş
-- "responser.cc" = tipik Çin geliştirici İngilizce yazımı ("responder" değil)
-- Mimari: handler/receiver/sender ayrımı = asenkron C2 protokolü

VM Tespit

wmic path Win32_ComputerSystem get HypervisorPresent
-- Hipervisor varlığı WMI ile kontrol
-- VM/sandbox tespiti
abox_version    -- ValleyRat özel config anahtarı
androws_version -- Versiyon bilgisi ("android"→"androws" yazım hatası?)
fail CreateMutex[%lu]: %s  -- C-style hata loglama (printf formatı)

ValleyRat Hakkında

ValleyRat, Silver APT grubuna atfedilen Çin menşeli RAT'tır. 2023'te keşfedildi. Çoğunlukla Çin merkezli finans, muhasebe ve yönetici personeli hedefler. Shellcode injection ve plugin tabanlı modüler yapıya sahiptir. DLL sideloading kullanır.

IOC

SHA256de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Configabox_version, androws_version
Anti-VMwmic HypervisorPresent

ValleyRAT — Malware Profile

ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.

Malware Type
RAT
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (6 indicators)

IOC — ValleyRat
# DOMAIN handler.cc # DOMAIN receiver.cc # DOMAIN sender.cc # DOMAIN manager.cc # DOMAIN responser.cc # DOMAIN start.cc
TypeValueNote
domain handler.cc
domain receiver.cc
domain sender.cc
domain manager.cc
domain responser.cc
domain start.cc
Tags
valleyratchinese-ratwmic-hypervisorpresentvm-detectioncc-source-artifactabox-versionandrows-version