Manuel Statik Analiz — Pikabot | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | Lisect_AVT_24003_G1B_54.exe (LisectAVT Kampanya Paketi) |
| Boyut | 1.459.825 byte (1.4MB) |
| String Sayisi | 9.405 |
LisectAVT Kampanya Tanımlaması
LisectAVT: Çoklu aileli koordineli saldırı altyapısı.
Lisect_AVT_24003_G1B_54.exe -- "Lisect" = Lisect altyapısı (malware delivery network) -- "AVT" = AntiVirus Threat (AV bypass odaklı) -- "24003" = 2024/Batch 003 tarih/sıra numarası -- "G1B" = Group 1 Batch (hedef grup kodu) -- "54" = Payload numarası 54 -- Daha önce batch 44/47/48/53'te görülen tekrar eden kampanya adlandırması
Üçlü Anti-Analiz Tekniği
NtQueryObject -- handle tipi sorgusu (debug handle tespiti) NtQuerySystemInformation -- sistem bilgisi + sandbox tespiti GetTickCount64 -- yüksek çözünürlüklü zamanlama anti-debug -- NtQueryObject ile ObjectNameInformation: debugger pipeline handle'ları tespit edilir -- NtQuerySystemInformation ile SystemKernelDebuggerInformation: kernel debug aktif mi? -- GetTickCount64: execution hızı kontrolü (VM sandbox = normalden hızlı) -- Üç farklı katman = EDR ve sandbox her ikisini de atlatma girişimi
Network C2 Hazırlığı
"address family not supported" -- AF_INET/AF_INET6 seçimi "function not supported" -- socket API capability check "host unreachable" -- ağ bağlantı denemesi "not supported" -- fallback protokol kodu -- Bu hata stringleri Pikabot'un socket tabanlı C2 iletişimi için -- Runtime'da IP:port config'i şifreli/obfuskated gömülü (strings'te görünmüyor) -- Pikabot config şifrelemesi: RC4/ChaCha20 ile hardcoded key
Pikabot Hakkında
Pikabot 2023'te ortaya çıkan modüler bir loader/backdoor'dur. Qakbot'un boşluğunu doldurmak amacıyla yaratıldığı düşünülmektedir. İki bileşen: injector modülü + core modülü. Anti-emulation, anti-sandbox, anti-debug teknikleri kullanır. Cobalt Strike ve diğer post-exploitation araçlarını yükler. TA577 grubu kullanmaktadır.
IOC
| SHA256 | 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Kampanya | LisectAVT_24003_G1B_54 |
Pikabot2 — Malware Profile
Pikabot 2023 modüler loader/backdoor. LisectAVT kampanya. Qakbot yerine geldi. NtQueryObject+NtQuery anti-debug. TA577.
Malware Type
Loader
Programming Language
C++
C2 Protocol
TCP/HTTP
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — Pikabot2
# SHA256
31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 31f530266fa3354a1459825b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |