Manuel Statik Analiz — PoisonIvy | Tehdit: YUKSEK

Dosya Kimliği

SHA25686ef578ca59231191596928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıHelpstore.exe (Windows Yardım/Store taklidi!)
Boyut1.596.928 byte (1.5MB)
String Sayisi6.850

Helpstore.exe: Çift Anlam Gizleme

GİZLEME: Windows Help + Microsoft Store taklidi!
Helpstore.exe
-- "Help" = Windows Yardım sistemi (help.exe, helppane.exe)
-- "store" = Microsoft Store (ms-windows-store://...)
-- "Helpstore" = hem yardım hem mağaza → MEŞRU gibi görünür
-- Görev yöneticisinde sıradan görünür, dikkat çekmez

VirtualBox Tespiti

ANTİ-VM:
VBOX\"
-- VirtualBox kayıt defteri anahtarı kontrolü (ters slash + tırnak = string sonu)
-- PoisonIvy: VBOX tespit ederse çalışmayı askıya alır
-- Sandbox analiz araçlarını engeller

Beş C2 Substring + Anahtar Fragmanı

^z3c2       -- caret + z3 + c2
2ac2_|tv*_  -- 2a + c2 + özel karakter dizisi
#Xelc2      -- hash + Xel + c2
9\sC2A      -- rakam + ters slash + s + C2A
,b*c2gv     -- virgül + b asterisk + c2 + gv
kEy!9       -- anahtar fragmanı: büyük K, küçük e, Y, ünlem, 9

IOC

SHA25686ef578ca59231191596928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureHelpstore.exe (Help+Store gizleme)

PoisonIvy — Malware Profile

PoisonIvy klasik Çin APT RAT. VBOX tespiti. Helpstore.exe Windows gizlemesi. Çok kullanılan APT tool 2005-günümüz.

Malware Type
RAT
Programming Language
C
C2 Protocol
TCP
Target Systems
Windows

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — PoisonIvy
# SHA256 86ef578ca59231191596928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 86ef578ca59231191596928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
poisonivyhelpstore-exe-windows-help-disguisevbox-virtualbox-detectfive-c2-substringsz3c2-fragmentxelc2-fragmentkey9-fragment