Manuel Statik Analiz — CyberGate | Tehdit: YUKSEK

Dosya Kimliği

SHA256d60d85614bf142671115520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adısqlite.dll (SQLite veritabanı kütüphanesi taklidi!)
Boyut1.115.520 byte (1.1MB)
String Sayisi1.433

SQLite DLL İmpersonasyonu

Gelişmiş Teknik: Gerçek SQLite export fonksiyon adlarını kullanarak DLL impersonasyonu!
_sqlite_internal_encrypt_entry -- özel şifreli giriş fonksiyonu
sqlite3_aggregate_context      -- gerçek SQLite API (aggregate hesapları)
sqlite3_aggregate_count        -- gerçek SQLite API (aggregate sayısı)
-- Gerçek SQLite'ın export tablosunu taklit eder
-- DLL hijacking: sqlite.dll yüklenmesini bekleyen uygulama bu dosyayı yükler
-- İmza tabanlı AV: "SQLite DLL → zararsız"

IOC

SHA256d60d85614bf142671115520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Tekniksqlite.dll DLL hijacking (gerçek SQLite export taklidi)

CyberGate — Malware Profile

CyberGate Delphi 2009. sqlite.dll SQLite DLL hijacking. sqlite3_aggregate gerçek export. Keylogger+stealer+RAT.

Malware Type
RAT
Programming Language
Delphi
C2 Protocol
TCP
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — CyberGate
# SHA256 d60d85614bf142671115520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 d60d85614bf142671115520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
cybergatesqlite-dllsqlite3-aggregatereal-export-functiondll-impersonationdatabase-dll-disguise