Manuel Statik Analiz — CyberGate | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | d60d85614bf142671115520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | sqlite.dll (SQLite veritabanı kütüphanesi taklidi!) |
| Boyut | 1.115.520 byte (1.1MB) |
| String Sayisi | 1.433 |
SQLite DLL İmpersonasyonu
Gelişmiş Teknik: Gerçek SQLite export fonksiyon adlarını kullanarak DLL impersonasyonu!
_sqlite_internal_encrypt_entry -- özel şifreli giriş fonksiyonu sqlite3_aggregate_context -- gerçek SQLite API (aggregate hesapları) sqlite3_aggregate_count -- gerçek SQLite API (aggregate sayısı) -- Gerçek SQLite'ın export tablosunu taklit eder -- DLL hijacking: sqlite.dll yüklenmesini bekleyen uygulama bu dosyayı yükler -- İmza tabanlı AV: "SQLite DLL → zararsız"
IOC
| SHA256 | d60d85614bf142671115520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Teknik | sqlite.dll DLL hijacking (gerçek SQLite export taklidi) |
CyberGate — Malware Profile
CyberGate Delphi 2009. sqlite.dll SQLite DLL hijacking. sqlite3_aggregate gerçek export. Keylogger+stealer+RAT.
Malware Type
RAT
Programming Language
Delphi
C2 Protocol
TCP
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — CyberGate
# SHA256
d60d85614bf142671115520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | d60d85614bf142671115520b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |