Manuel Statik Analiz — ValleyRAT (Çin APT) | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f |
|---|---|
| Dosya Adı | explorer.exe (Windows Gezgini taklidi!) |
| Boyut | 171.640 byte |
| String Sayisi | 925 |
explorer.exe Kamuflajı
Tehlike: Windows Explorer çalıştırılabilir dosyasını taklit eder. İşlem listesinde meşru gibi görünür.
Registry Kalıcılığı
RegCreateKeyW -- Registry oluşturma/kalıcılık RegOpenKeyExW -- Registry okuma (mevcut kalıcılık kontrol) RegSetValueExW -- Registry değer yazma
ValleyRAT Hakkında
ValleyRAT, Silver Fox APT (Çin menşeli) tarafından geliştirildiği değerlendirilen C++ tabanlı RAT ailesidir. Finansal sektörü hedef alan spear-phishing kampanyalarında kullanılmıştır. çoklu aşamalı yükleme (dropper → loader → RAT), shellcode çalıştırma ve keylogging yetenekleri içerir.
IOC
| SHA256 | f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f |
|---|---|
| Kamuflaj | explorer.exe (Windows Gezgini) |
ValleyRAT — Malware Profile
ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.
Malware Type
RAT
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — ValleyRAT
# SHA256
f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
| Type | Value | Note |
|---|---|---|
| sha256 | f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f |