Manuel Statik Analiz — KoiLoader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 6df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | sd4.ps1 (PowerShell script downloader versiyon 4) |
| Boyut | 478.131 byte (478KB PowerShell) |
| String Sayisi | 5.204 |
PowerShell Downloader: sd4.ps1
sd4.ps1 -- "sd" = Script Downloader -- "4" = dördüncü versiyon (önceki: sd1.ps1, sd2.ps1, sd3.ps1) -- PowerShell: Living-off-the-Land (LotL) tekniği -- .ps1 → Windows PowerShell Engine ile çalışır -- 478KB: büyük obfuskated PS script (base64 + XOR + gzip kombinasyonu)
C2: 37.49.226.113/index.php
C2 Tespit: Açık metin IP:port!
http://37.49.226.113/index.php -- IP: 37.49.226.113 (genel IP) -- /index.php = standart web gate (PHP panel) -- HTTP (HTTPS değil) → şifresiz iletişim -- index.php = KoiLoader ana C2 gate endpoint'i -- PowerShell → HTTP POST → 37.49.226.113 → payload alımı
XOR Şifreleme Anahtarı: 0xc2, 0x48, 0x96...
XOR Key Tespit:
0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30, 0x7a, 0x4a, 0x04, 0x41, 0x59, 0x29, 0x0... -- KoiLoader PS1 script içindeki XOR anahtarı byte dizisi -- C2'den alınan şifreli payload bu key ile XOR decode edilir -- 0xc2 = 194 (decimal) = XOR key ilk byte'ı -- Bu key ile decode: gzip → shellcode veya PE payload -- Key statik: kod değiştirilmeden aynı key ile tüm kampanya payloadları çözülür
KoiLoader Hakkında
KoiLoader 2024'te keşfedilen yeni PowerShell tabanlı loader. PowerShell Living-off-the-Land tekniğiyle AV tespitini zorlaştırır. Modüler: sd1-sd4.ps1 versiyonları giderek daha obfuskated. Payload: AgentTesla, RedLine, AsyncRAT gibi stealerler. RATS-1337 kampanya grubu kullanmaktadır.
IOC
| SHA256 | 6df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | 37.49.226.113 (/index.php) |
| XOR Key | 0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30... |
KoiLoader — Malware Profili
KoiLoader 2024 PowerShell LotL loader. sd4.ps1. 37.49.226.113 C2. 0xc2 XOR key. AgentTesla AsyncRAT payload.
Malware Tipi
Loader
Programlama Dili
PowerShell
C2 Protokolü
HTTP
Hedef Sistemler
Küresel
Yetenekler ve Davranış
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC Listesi (1 gösterge)
IOC — KoiLoader
# IP
37.49.226.113
| Tür | Değer | Not |
|---|---|---|
| ip | 37.49.226.113 |
C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| 37.49.226.113 | ip | 80 | HTTP | active | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.