Manuel Statik Analiz — PoisonIvy | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | Helpstore.exe ("Yardım merkezi" sahte uygulama) |
| Boyut | 1.596.928 byte (1.6MB) |
| String Sayisi | 6.850 |
Sandbox / VM Tespiti
VBOX -- VirtualBox sanal makine string tespiti IsDebuggerPresent -- Debugger varlığı kontrolü -- VirtualBox kuruluysa (VBOX sürücüsü/registry) çalışmayı reddeder -- Analiz ortamlarında tespiti önler
PoisonIvy Hakkında
PoisonIvy, Çin'de 2005'te geliştirilen ve 2008'de kaynak kodu sızan RAT'tır. Uzun yıllar Çin siber casusluk grupları (Comment Crew / APT1, Deep Panda, APT10, Naikon) tarafından devlet hedefli saldırılarda kullanıldı. MD5: AB3C26C5DE87B0C62DA71F... Şifrelenmiş C2, keylogger, ekran görüntüsü, remote shell, USB propagation.
IOC
| SHA256 | 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Kamuflaj | Helpstore.exe |
| Anti-VM | VBOX string tespiti |
PoisonIvy2 — Malware Profile
PoisonIvy 2005 Cin kaynakli APT araci. VBOX tespiti. Helpstore.exe. APT1/APT10/Naikon kullanimi. 2008 kaynak sizin.
Malware Type
RAT
Programming Language
Delphi/C
C2 Protocol
TCP/Custom
Target Systems
Devlet Hedefleri
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — PoisonIvy2
# SHA256
86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
| Type | Value | Note |
|---|---|---|
| sha256 | 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c |