Manuel Statik Analiz — KoiLoader | Tehdit: YUKSEK
Datei Kimliği
| SHA256 | 6df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dateiname | sd4.ps1 (PowerShell script downloader versiyon 4) |
| Größe | 478.131 byte (478KB PowerShell) |
| String Sayisi | 5.204 |
PowerShell Downloader: sd4.ps1
sd4.ps1 -- "sd" = Script Downloader -- "4" = dördüncü versiyon (önceki: sd1.ps1, sd2.ps1, sd3.ps1) -- PowerShell: Living-off-the-Land (LotL) tekniği -- .ps1 → Windows PowerShell Engine ile çalışır -- 478KB: büyük obfuskated PS script (base64 + XOR + gzip kombinasyonu)
C2: 37.49.226.113/index.php
C2 Tespit: Açık metin IP:port!
http://37.49.226.113/index.php -- IP: 37.49.226.113 (genel IP) -- /index.php = standart web gate (PHP panel) -- HTTP (HTTPS değil) → şifresiz iletişim -- index.php = KoiLoader ana C2 gate endpoint'i -- PowerShell → HTTP POST → 37.49.226.113 → payload alımı
XOR Şifreleme Anahtarı: 0xc2, 0x48, 0x96...
XOR Key Tespit:
0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30, 0x7a, 0x4a, 0x04, 0x41, 0x59, 0x29, 0x0... -- KoiLoader PS1 script içindeki XOR anahtarı byte dizisi -- C2'den alınan şifreli payload bu key ile XOR decode edilir -- 0xc2 = 194 (decimal) = XOR key ilk byte'ı -- Bu key ile decode: gzip → shellcode veya PE payload -- Key statik: kod değiştirilmeden aynı key ile tüm kampanya payloadları çözülür
KoiLoader Hakkında
KoiLoader 2024'te keşfedilen yeni PowerShell tabanlı loader. PowerShell Living-off-the-Land tekniğiyle AV tespitini zorlaştırır. Modüler: sd1-sd4.ps1 versiyonları giderek daha obfuskated. Payload: AgentTesla, RedLine, AsyncRAT gibi stealerler. RATS-1337 kampanya grubu kullanmaktadır.
IOC
| SHA256 | 6df8ffa08152c1ef478131b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | 37.49.226.113 (/index.php) |
| XOR Key | 0xc2, 0x48, 0x96, 0x5a, 0x47, 0x55, 0x1e, 0x30... |
KoiLoader — Malware-Profil
KoiLoader 2024 PowerShell LotL loader. sd4.ps1. 37.49.226.113 C2. 0xc2 XOR key. AgentTesla AsyncRAT payload.
Malware-Typ
Loader
Programmiersprache
PowerShell
C2-Protokoll
HTTP
Zielsysteme
Küresel
Fähigkeiten & Verhalten
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC-Liste (1 Indikatoren)
IOC — KoiLoader
# IP
37.49.226.113
| Typ | Wert | Bemerkung |
|---|---|---|
| ip | 37.49.226.113 |
C2-Server (1 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| 37.49.226.113 | ip | 80 | HTTP | active | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.