Manuel Statik Analiz — PikaBot | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Boyut | 1.459.825 byte (1.4MB) |
| String Sayisi | 9.405 |
JSON C2 Protokolü: Unicode Surrogate Pair Hatası
C2 PROTOKOL: PikaBot JSON üzerinden C2 iletişimi!
invalid string: surrogate U+D800..U+DBFF must be followed by U+DC00..U+DFFF -- Bu hata mesajı gömülü JSON kütüphanesinden (simdjson/rapidjson) -- PikaBot: C2 sunucusuyla JSON mesajlaşma protokolü kullanıyor -- Hata: yüksek surrogate (U+D800–U+DBFF) sonrası düşük surrogate gelmemesi -- JSON içinde Unicode string işleme → C2 komutları JSON paketinde taşınıyor -- Hata mesajının varlığı: C2 kanalında Unicode içerik işleniyor
Üçlü Anti-Analiz API
ANTİ-ANALİZ:
GetTickCount64 -- Yüksek çözünürlüklü zaman kontrolü (timing anti-debug) NtQueryObject -- Handle listesi sorgulama (debugger port tespiti) NtQuerySystemInformation -- Sistem bilgisi (VM/sandbox tespiti) -- Üçlü kontrol: sandbox'ta çalışıyorsa farklı davranır -- NtQueryObject → DebugObject handle var mı? -- NtQuerySystemInformation → sistem CPU/process sayısı normal mi?
IOC
| SHA256 | 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Protokol | JSON (Unicode surrogate pair kontrolü) |
| Anti-Analiz | NtQueryObject, NtQuerySystemInformation, GetTickCount64 |
PikaBot — Malware Profile
PikaBot modular loader. NtQuery dual anti-debug. Surrogate U+D800 JSON. Procurement lures.
Malware Type
Loader
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Windows
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — PikaBot
# SHA256
31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |