Manuel Statik Analiz — ValleyRat (Çin Kaynaklı RAT) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Format | Windows EXE (orijinal ad: Unicode/Çince) |
| Boyut | 1.943.568 byte |
| String Sayisi | 8.459 |
C++ Kaynak Dosya Artifaktları
handler.cc receiver.cc sender.cc
manager.cc responser.cc start.cc
-- ".cc" = C++ kaynak dosyası uzantısı (Google stili)
-- Orijinal C++ kaynak dosya isimlerinden derlenmiş
-- "responser.cc" = tipik Çin geliştirici İngilizce yazımı ("responder" değil)
-- Mimari: handler/receiver/sender ayrımı = asenkron C2 protokolü
VM Tespit
wmic path Win32_ComputerSystem get HypervisorPresent
-- Hipervisor varlığı WMI ile kontrol
-- VM/sandbox tespiti
abox_version -- ValleyRat özel config anahtarı
androws_version -- Versiyon bilgisi ("android"→"androws" yazım hatası?)
fail CreateMutex[%lu]: %s -- C-style hata loglama (printf formatı)
ValleyRat Hakkında
ValleyRat, Silver APT grubuna atfedilen Çin menşeli RAT'tır. 2023'te keşfedildi. Çoğunlukla Çin merkezli finans, muhasebe ve yönetici personeli hedefler. Shellcode injection ve plugin tabanlı modüler yapıya sahiptir. DLL sideloading kullanır.
IOC
| SHA256 | de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Config | abox_version, androws_version |
| Anti-VM | wmic HypervisorPresent |
ValleyRAT — Malware Profile
ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.
Malware Type
RAT
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (6 indicators)
IOC — ValleyRat
# DOMAIN
handler.cc
# DOMAIN
receiver.cc
# DOMAIN
sender.cc
# DOMAIN
manager.cc
# DOMAIN
responser.cc
# DOMAIN
start.cc
| Type | Value | Note |
|---|---|---|
| domain | handler.cc | |
| domain | receiver.cc | |
| domain | sender.cc | |
| domain | manager.cc | |
| domain | responser.cc | |
| domain | start.cc |