Derin PE Analizi — Black Basta Dropper | Tehdit: YUKSEK

Dosya Kimliği

SHA25665ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3
Dosya Adıblack-basta_elex.exe (açıkça aile adı içeriyor!)
Boyut488 KB, PE32 Intel 80386
Section Sayısı4

black-basta_elex.exe: Açıkça Aile Adı Taşıyan Dosya

black-basta_elex.exe
-- Dosya adı içinde "black-basta" = fidye yazılımı adı açıkça yazılı!
-- "_elex" suffix = "elex" bileşeni veya varyant etiketi
-- Operasyonel OPSEC hatası: gerçek saldırı araçları böyle adlandırılmaz
-- Bu genellikle: saldırgan test ortamında veya araç setinde bu isimle kaydedilmiş
-- MalwareBazaar'a analiz ortamından veya araştırmacı tarafından yüklendi
-- Black Basta: 2022'de Conti'nin dağılmasından sonra ortaya çıkan fidye grubu

d:\dbs\el\dec\target\x64\ship\delivery\x-none\ose.pdb: MS Office Source Engine Maskesi

MS OFİS TAKLİDİ: PDB yolu meşru Microsoft bileşenini kopyalıyor!
d:\dbs\el\dec\target\x64\ship\delivery\x-none\ose.pdb
-- "ose.pdb" = Office Source Engine Program Database
  - OSE = Microsoft Office kurulum/güncelleme bileşeni
  - Meşru dosya: C:\Program Files\Common Files\Microsoft Shared\Source Engine\ose.exe
-- Build yolu taklidi:
  - "d:\dbs\el\dec" = "databases/el/dec" (Microsoft'un iç build sistemi yapısı)
  - "\target\x64\ship\delivery\x-none\" = Microsoft Office dağıtım dizin yapısı
-- Amaç: AV ve EDR araçları "ose.pdb" referansını güvenilir Microsoft kaynağı sanır
-- Digital imza olmadan: sadece PDB yolu Microsoft'tan gelmiş görünümü veriyor

WinHTTP HTTPS C2 Altyapısı

WinHttpConnect          -- HTTPS sunucusuna bağlan
WinHttpOpenRequest      -- HTTP istek oluştur (GET/POST)
WinHttpSendRequest      -- isteği gönder (payload/C2 komut)
-- Windows HTTP Servisleri: WinInet'e alternatif, daha az monitör edilen
-- HTTPS C2: şifreli kanal (firewall/IDS göremez)
-- Black Basta C2 protokolü: WinHTTP üzerinden JSON komut alış-verişi

Hak Yükseltme + Token Manipülasyonu

AdjustTokenPrivileges   -- token ayrıcalıklarını artır (SeDebugPrivilege, SeTakeOwnershipPrivilege)
OpenProcessToken        -- proses token'ına eriş
SetThreadToken          -- iş parçacığına token ata (impersonation)
DuplicateToken          -- token kopyala (domain hesabı taklit)
CheckTokenMembership    -- yönetici grubu üyesi mi?
-- UAC bypass sonrası: SeDebugPrivilege aktif → tüm proseslere erişim
-- DuplicateToken: domain kullanıcısı kimliğiyle ağ hareketleri

IOC

SHA25665ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3
Dosya Adıblack-basta_elex.exe

BlackBasta — Malware Profile

Black Basta ransomware grubu loaer/dropper. Microsoft Office Setup Engine (ose.pdb) olarak gizlenir. Global\OfficeSourceEngine64Mutex sahte mutex. Self-modifying .ex_cod section. Minimal import + runtime GetProcAddress API cozme. WinHttp C2. Token manipulasyonu.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
Target Systems
Windows/Linux

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — BlackBasta
# SHA256 65ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3
TypeValueNote
sha256 65ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion domain 443 — inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
blackbastablack-bastablackbasta2black-basta-elex-exe-explicit-family-filenameose-pdb-microsoft-office-source-engine-masqueradewinhttpconnect-winhttpsendrequest-winhttp-https-c2adjusttokenprivileges-privilege-escalationsetthreadtoken-duplicatetoken-impersonationcreatemutexa-anti-reinfectioncryptcreatehashe-cryptacquirecontext-windows-crypto