Manuel Statik Analiz — ValleyRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA256de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Dosya Adı点击切换简体中文语言包.exe (Basitleştirilmiş Çince dil paketi)
Boyut1.943.568 byte (1.9MB)
String Sayisi8.459

Çince Dil Paketi Kamuflajı

Lure: "点击切换简体中文语言包.exe" = "Basitleştirilmiş Çince dil paketine geçmek için tıklayın" — Çinli kullanıcıları hedefleme!

WMI Hypervisor Tespiti

wmic path Win32_ComputerSystem get HypervisorPresent
-- WMI üzerinden sanal makine tespiti (GetTickCount ile birlikte)
GetTickCount, GetTickCount64  -- Zamanlama anti-sandbox

C++ Kaynak Dosya İpuçları

handler.cc, manager.cc, receiver.cc, sender.cc
responser.cc  -- "responder" yerine "responser" = Çinli geliştirici İngilizce yazım hatası!
start.cc      -- C++ kaynak dosya referansları

IOC

SHA256de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
LureÇince dil paketi (点击切换简体中文语言包)
Dev Hatasıresponser.cc (İngilizce typo)

ValleyRAT — Malware Profile

ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.

Malware Type
RAT
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — ValleyRAT
# SHA256 de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
TypeValueNote
sha256 de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Tags
valleyratchina-aptchinese-lurewmi-hypervisorcpp-sourceanti-vm