Manuel Statik Analiz — Pikabot | Tehdit: YUKSEK

Dosya Kimliği

SHA25631f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıLisect_AVT_24003_G1B_54.exe (LisectAVT Kampanya Paketi)
Boyut1.459.825 byte (1.4MB)
String Sayisi9.405

LisectAVT Kampanya Tanımlaması

LisectAVT: Çoklu aileli koordineli saldırı altyapısı.
Lisect_AVT_24003_G1B_54.exe
-- "Lisect" = Lisect altyapısı (malware delivery network)
-- "AVT" = AntiVirus Threat (AV bypass odaklı)
-- "24003" = 2024/Batch 003 tarih/sıra numarası
-- "G1B" = Group 1 Batch (hedef grup kodu)
-- "54" = Payload numarası 54
-- Daha önce batch 44/47/48/53'te görülen tekrar eden kampanya adlandırması

Üçlü Anti-Analiz Tekniği

NtQueryObject          -- handle tipi sorgusu (debug handle tespiti)
NtQuerySystemInformation -- sistem bilgisi + sandbox tespiti
GetTickCount64         -- yüksek çözünürlüklü zamanlama anti-debug
-- NtQueryObject ile ObjectNameInformation: debugger pipeline handle'ları tespit edilir
-- NtQuerySystemInformation ile SystemKernelDebuggerInformation: kernel debug aktif mi?
-- GetTickCount64: execution hızı kontrolü (VM sandbox = normalden hızlı)
-- Üç farklı katman = EDR ve sandbox her ikisini de atlatma girişimi

Network C2 Hazırlığı

"address family not supported"  -- AF_INET/AF_INET6 seçimi
"function not supported"        -- socket API capability check
"host unreachable"              -- ağ bağlantı denemesi
"not supported"                 -- fallback protokol kodu
-- Bu hata stringleri Pikabot'un socket tabanlı C2 iletişimi için
-- Runtime'da IP:port config'i şifreli/obfuskated gömülü (strings'te görünmüyor)
-- Pikabot config şifrelemesi: RC4/ChaCha20 ile hardcoded key

Pikabot Hakkında

Pikabot 2023'te ortaya çıkan modüler bir loader/backdoor'dur. Qakbot'un boşluğunu doldurmak amacıyla yaratıldığı düşünülmektedir. İki bileşen: injector modülü + core modülü. Anti-emulation, anti-sandbox, anti-debug teknikleri kullanır. Cobalt Strike ve diğer post-exploitation araçlarını yükler. TA577 grubu kullanmaktadır.

IOC

SHA25631f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
KampanyaLisectAVT_24003_G1B_54

Pikabot2 — Malware Profile

Pikabot 2023 modüler loader/backdoor. LisectAVT kampanya. Qakbot yerine geldi. NtQueryObject+NtQuery anti-debug. TA577.

Malware Type
Loader
Programming Language
C++
C2 Protocol
TCP/HTTP
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — Pikabot2
# SHA256 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
pikabotlisectavt-24003-g1b-54ntqueryobject-anti-debugntquerysysteminfo-anti-debuggettickcpunt64network-reconsocket-c2