Manuel Statik Analiz — KoiLoader | Tehdit: YUKSEK

Dosya Kimliği

SHA2566df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adısd4.ps1 (PowerShell script downloader versiyon 4)
Boyut478.131 byte (478KB PowerShell)
String Sayisi5.204

PowerShell Downloader: sd4.ps1

sd4.ps1
-- "sd" = Script Downloader
-- "4" = dördüncü versiyon (önceki: sd1.ps1, sd2.ps1, sd3.ps1)
-- PowerShell: Living-off-the-Land (LotL) tekniği
-- .ps1 → Windows PowerShell Engine ile çalışır
-- 478KB: büyük obfuskated PS script (base64 + XOR + gzip kombinasyonu)

C2: 37.49.226.113/index.php

C2 Tespit: Açık metin IP:port!
http://37.49.226.113/index.php
-- IP: 37.49.226.113 (genel IP)
-- /index.php = standart web gate (PHP panel)
-- HTTP (HTTPS değil) → şifresiz iletişim
-- index.php = KoiLoader ana C2 gate endpoint'i
-- PowerShell → HTTP POST → 37.49.226.113 → payload alımı

XOR Şifreleme Anahtarı: 0xc2, 0x48, 0x96...

XOR Key Tespit:
0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30,
0x7a, 0x4a, 0x04, 0x41, 0x59, 0x29, 0x0...
-- KoiLoader PS1 script içindeki XOR anahtarı byte dizisi
-- C2'den alınan şifreli payload bu key ile XOR decode edilir
-- 0xc2 = 194 (decimal) = XOR key ilk byte'ı
-- Bu key ile decode: gzip → shellcode veya PE payload
-- Key statik: kod değiştirilmeden aynı key ile tüm kampanya payloadları çözülür

KoiLoader Hakkında

KoiLoader 2024'te keşfedilen yeni PowerShell tabanlı loader. PowerShell Living-off-the-Land tekniğiyle AV tespitini zorlaştırır. Modüler: sd1-sd4.ps1 versiyonları giderek daha obfuskated. Payload: AgentTesla, RedLine, AsyncRAT gibi stealerler. RATS-1337 kampanya grubu kullanmaktadır.

IOC

SHA2566df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C237.49.226.113 (/index.php)
XOR Key0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30...

KoiLoader — Malware Profili

KoiLoader 2024 PowerShell LotL loader. sd4.ps1. 37.49.226.113 C2. 0xc2 XOR key. AgentTesla AsyncRAT payload.

Malware Tipi
Loader
Programlama Dili
PowerShell
C2 Protokolü
HTTP
Hedef Sistemler
Küresel

Yetenekler ve Davranış

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC Listesi (1 gösterge)

IOC — KoiLoader
# IP 37.49.226.113
TürDeğerNot
ip 37.49.226.113

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
37.49.226.113 ip 80 HTTP active —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
koiloadersd4-ps1-powershell37-49-226-113-c2index-php-gate0xc2-xor-keyxor-decryption-keypowershell-downloader