Derin PE Analizi — Black Basta Dropper | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 65ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3 |
|---|---|
| Dosya Adı | black-basta_elex.exe (açıkça aile adı içeriyor!) |
| Boyut | 488 KB, PE32 Intel 80386 |
| Section Sayısı | 4 |
black-basta_elex.exe: Açıkça Aile Adı Taşıyan Dosya
black-basta_elex.exe -- Dosya adı içinde "black-basta" = fidye yazılımı adı açıkça yazılı! -- "_elex" suffix = "elex" bileşeni veya varyant etiketi -- Operasyonel OPSEC hatası: gerçek saldırı araçları böyle adlandırılmaz -- Bu genellikle: saldırgan test ortamında veya araç setinde bu isimle kaydedilmiş -- MalwareBazaar'a analiz ortamından veya araştırmacı tarafından yüklendi -- Black Basta: 2022'de Conti'nin dağılmasından sonra ortaya çıkan fidye grubu
d:\dbs\el\dec\target\x64\ship\delivery\x-none\ose.pdb: MS Office Source Engine Maskesi
MS OFİS TAKLİDİ: PDB yolu meşru Microsoft bileşenini kopyalıyor!
d:\dbs\el\dec\target\x64\ship\delivery\x-none\ose.pdb -- "ose.pdb" = Office Source Engine Program Database - OSE = Microsoft Office kurulum/güncelleme bileşeni - Meşru dosya: C:\Program Files\Common Files\Microsoft Shared\Source Engine\ose.exe -- Build yolu taklidi: - "d:\dbs\el\dec" = "databases/el/dec" (Microsoft'un iç build sistemi yapısı) - "\target\x64\ship\delivery\x-none\" = Microsoft Office dağıtım dizin yapısı -- Amaç: AV ve EDR araçları "ose.pdb" referansını güvenilir Microsoft kaynağı sanır -- Digital imza olmadan: sadece PDB yolu Microsoft'tan gelmiş görünümü veriyor
WinHTTP HTTPS C2 Altyapısı
WinHttpConnect -- HTTPS sunucusuna bağlan WinHttpOpenRequest -- HTTP istek oluştur (GET/POST) WinHttpSendRequest -- isteği gönder (payload/C2 komut) -- Windows HTTP Servisleri: WinInet'e alternatif, daha az monitör edilen -- HTTPS C2: şifreli kanal (firewall/IDS göremez) -- Black Basta C2 protokolü: WinHTTP üzerinden JSON komut alış-verişi
Hak Yükseltme + Token Manipülasyonu
AdjustTokenPrivileges -- token ayrıcalıklarını artır (SeDebugPrivilege, SeTakeOwnershipPrivilege) OpenProcessToken -- proses token'ına eriş SetThreadToken -- iş parçacığına token ata (impersonation) DuplicateToken -- token kopyala (domain hesabı taklit) CheckTokenMembership -- yönetici grubu üyesi mi? -- UAC bypass sonrası: SeDebugPrivilege aktif → tüm proseslere erişim -- DuplicateToken: domain kullanıcısı kimliğiyle ağ hareketleri
IOC
| SHA256 | 65ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3 |
|---|---|
| Dosya Adı | black-basta_elex.exe |
BlackBasta — Malware Profile
Black Basta ransomware grubu loaer/dropper. Microsoft Office Setup Engine (ose.pdb) olarak gizlenir. Global\OfficeSourceEngine64Mutex sahte mutex. Self-modifying .ex_cod section. Minimal import + runtime GetProcAddress API cozme. WinHttp C2. Token manipulasyonu.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
—
Target Systems
Windows/Linux
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — BlackBasta
# SHA256
65ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3
| Type | Value | Note |
|---|---|---|
| sha256 | 65ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3 |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion | domain | 443 | — | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.