Manuel Statik Analiz — PikaBot | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | 31f530266fa3354af4a19735586e611fd9f8348bc2b3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| Nom du fichier | Lisect_AVT_24003_G1B_54.exe (procurement lürü) |
| Taille | 1.459.825 byte (1.39MB) |
| String Sayisi | 9.405 |
NtQueryObject + NtQuerySystemInformation: Çift NT Anti-Debug
ÇİFT ANTI-DEBUG: NT katmanında iki farklı debug tespiti!
NtQueryObject -- NT nesnesi sorgula NtQuerySystemInformation -- NT sistem bilgisi sorgula GetTickCount64 -- 64-bit zamanlayıcı anti-debug -- NtQueryObject: debug nesnelerini say (handle count analizi) -- NtQuerySystemInformation: SystemKernelDebuggerInformation sorgusu -- İki farklı NT API: farklı AV bypass yöntemleri + çapraz doğrulama -- GetTickCount64: zamanlama kontrolü (sandbox gecikmesi tespiti)
surrogate U+D800..U+DBFF: JSON Unicode Doğrulama
invalid string: surrogate U+D800..U+DBFF must be followed by U+DC00. -- ValleyRAT, RisePro1, DanaBot ile AYNI hata! -- Ortak JSON kütüphanesi: birden fazla malware ailesinde paylaşılıyor -- C2 iletişiminde JSON doğrulama katmanı
IOC
| SHA256 | 31f530266fa3354af4a19735586e611fd9f8348bc2b3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| Lure | Lisect_AVT_24003_G1B_54.exe |
PikaBot — Profil du malware
PikaBot modular loader. NtQuery dual anti-debug. Surrogate U+D800 JSON. Procurement lures.
Type de malware
Loader
Langage de programmation
C
Protocole C2
HTTPS
Systèmes ciblés
Windows
Capacités et comportement
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Liste IOC (1 indicateurs)
IOC — PikaBot
# SHA256
31f530266fa3354af4a19735586e611fd9f8348bc2b3c5a4f7d0e2b6c9f1a3d6
| Type | Valeur | Note |
|---|---|---|
| sha256 | 31f530266fa3354af4a19735586e611fd9f8348bc2b3c5a4f7d0e2b6c9f1a3d6 |