Manuel Statik Analiz — PoisonIvy | Tehdit: ORTA

Dosya Kimliği

SHA25686ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıHelpstore.exe ("Yardım merkezi" sahte uygulama)
Boyut1.596.928 byte (1.6MB)
String Sayisi6.850

Sandbox / VM Tespiti

VBOX               -- VirtualBox sanal makine string tespiti
IsDebuggerPresent  -- Debugger varlığı kontrolü
-- VirtualBox kuruluysa (VBOX sürücüsü/registry) çalışmayı reddeder
-- Analiz ortamlarında tespiti önler

PoisonIvy Hakkında

PoisonIvy, Çin'de 2005'te geliştirilen ve 2008'de kaynak kodu sızan RAT'tır. Uzun yıllar Çin siber casusluk grupları (Comment Crew / APT1, Deep Panda, APT10, Naikon) tarafından devlet hedefli saldırılarda kullanıldı. MD5: AB3C26C5DE87B0C62DA71F... Şifrelenmiş C2, keylogger, ekran görüntüsü, remote shell, USB propagation.

IOC

SHA25686ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
KamuflajHelpstore.exe
Anti-VMVBOX string tespiti

PoisonIvy2 — Malware Profili

PoisonIvy 2005 Cin kaynakli APT araci. VBOX tespiti. Helpstore.exe. APT1/APT10/Naikon kullanimi. 2008 kaynak sizin.

Malware Tipi
RAT
Programlama Dili
Delphi/C
C2 Protokolü
TCP/Custom
Hedef Sistemler
Devlet Hedefleri

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — PoisonIvy2
# SHA256 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
TürDeğerNot
sha256 86ef578ca5923119159692848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c
Etiketler
poisonivyhelpstore-exevbox-detectionvirtualbox-stringanti-debugapt-chinamalware-kit