Manuel Statik Analiz — PoisonIvy | Tehdit: MÉDIO
Arquivo Kimliği
| SHA256 | 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Nome do arquivo | Helpstore.exe ("Yardım merkezi" sahte uygulama) |
| Tamanho | 1.596.928 byte (1.6MB) |
| String Sayisi | 6.850 |
Sandbox / VM Tespiti
VBOX -- VirtualBox sanal makine string tespiti IsDebuggerPresent -- Debugger varlığı kontrolü -- VirtualBox kuruluysa (VBOX sürücüsü/registry) çalışmayı reddeder -- Analiz ortamlarında tespiti önler
PoisonIvy Hakkında
PoisonIvy, Çin'de 2005'te geliştirilen ve 2008'de kaynak kodu sızan RAT'tır. Uzun yıllar Çin siber casusluk grupları (Comment Crew / APT1, Deep Panda, APT10, Naikon) tarafından devlet hedefli saldırılarda kullanıldı. MD5: AB3C26C5DE87B0C62DA71F... Şifrelenmiş C2, keylogger, ekran görüntüsü, remote shell, USB propagation.
IOC
| SHA256 | 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Kamuflaj | Helpstore.exe |
| Anti-VM | VBOX string tespiti |
PoisonIvy2 — Perfil do malware
PoisonIvy 2005 Cin kaynakli APT araci. VBOX tespiti. Helpstore.exe. APT1/APT10/Naikon kullanimi. 2008 kaynak sizin.
Tipo de malware
RAT
Linguagem de programação
Delphi/C
Protocolo C2
TCP/Custom
Sistemas-alvo
Devlet Hedefleri
Capacidades e comportamento
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Lista IOC (1 indicadores)
IOC — PoisonIvy2
# SHA256
86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c |