Manuel Statik Analiz — PikaBot Loader | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | ce742b7cc94a5c66b358294bba3cd248fba8b880dae2a5c8b1f4d7e0c3a6b9d2 |
|---|---|
| Dosya Adı | pikabot_core.bin → .exe |
| Boyut | 333.312 byte |
| String Sayisi | 1.390 |
Gelişmiş Anti-Sandbox
NtQueryWnfStateData -- Windows Notification Framework durum sorgusu (çift ref) GetTickCount -- Zamanlama tespiti -- WNF tabanlı anti-sandbox, modern ve nadir görülen teknik!
PikaBot Hakkında
PikaBot, 2023'ten beri aktif olan gelişmiş loader ailesidir. QakBot'un dağıtım kanallarında QakBot yerine geçmiştir (Duck Hunt operasyonu sonrası). Gelişmiş anti-analiz teknikleri ve şifreli C2 iletişimi ile öne çıkar. Cobalt Strike, Brute Ratel C4 gibi post-exploitation araçları dağıtır. Email thread hijacking ile yayılır.
IOC
| SHA256 | ce742b7cc94a5c66b358294bba3cd248fba8b880dae2a5c8b1f4d7e0c3a6b9d2 |
|---|---|
| Teknik | NtQueryWnfStateData anti-sandbox |
PikaBot — Malware Profile
PikaBot modular loader. NtQuery dual anti-debug. Surrogate U+D800 JSON. Procurement lures.
Malware Type
Loader
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Windows
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — PikaBot
# SHA256
ce742b7cc94a5c66b358294bba3cd248fba8b880dae2a5c8b1f4d7e0c3a6b9d2
| Type | Value | Note |
|---|---|---|
| sha256 | ce742b7cc94a5c66b358294bba3cd248fba8b880dae2a5c8b1f4d7e0c3a6b9d2 |