Manuel Statik Analiz — ValleyRAT | Tehdit: YUKSEK

Arquivo Kimliği

SHA256de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Nome do arquivo点击切换简体中文语言包.exe (Basitleştirilmiş Çince dil paketi)
Tamanho1.943.568 byte (1.9MB)
String Sayisi8.459

Çince Dil Paketi Kamuflajı

Lure: "点击切换简体中文语言包.exe" = "Basitleştirilmiş Çince dil paketine geçmek için tıklayın" — Çinli kullanıcıları hedefleme!

WMI Hypervisor Tespiti

wmic path Win32_ComputerSystem get HypervisorPresent
-- WMI üzerinden sanal makine tespiti (GetTickCount ile birlikte)
GetTickCount, GetTickCount64  -- Zamanlama anti-sandbox

C++ Kaynak Arquivo İpuçları

handler.cc, manager.cc, receiver.cc, sender.cc
responser.cc  -- "responder" yerine "responser" = Çinli geliştirici İngilizce yazım hatası!
start.cc      -- C++ kaynak dosya referansları

IOC

SHA256de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
LureÇince dil paketi (点击切换简体中文语言包)
Dev Hatasıresponser.cc (İngilizce typo)

ValleyRAT — Perfil do malware

ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.

Tipo de malware
RAT
Linguagem de programação
C++
Protocolo C2
HTTP
Sistemas-alvo
Windows

Capacidades e comportamento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (1 indicadores)

IOC — ValleyRAT
# SHA256 de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
TipoValorNota
sha256 de4ca2d0a042ca83b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Tags
valleyratchina-aptchinese-lurewmi-hypervisorcpp-sourceanti-vm