Manuel Statik Analiz — BlackShades | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dosya Adı | Firefox.exe (SAHTE Mozilla Firefox!) |
| Boyut | 818.176 byte (799KB) |
| String Sayisi | 4.852 |
C:\Users\Stefan\sqliteProject: Geliştirici PDB + SQLite Kamuflaj
GELİŞTİRİCİ: "Stefan" username + SQLite kamuflaj proje adı!
C:\Users\Stefan\documents\visual studio 2013\Projects\sqliteProject\Release\sqliteProject.pdb -- "Stefan" = Avrupa kökenli isim (Almanca/Slav) -- "visual studio 2013" = BlackShades dönemi (2013-2014) -- "sqliteProject" = proje adı SQLite gibi gösterilmiş! - Meşru bir SQLite yardımcı araç gibi görünür - CyberGate: "sqlite.dll" ismi (batch 86) — aynı taktik! - SQLite kamuflajı: analist "SQLite kütüphanesi" sanabilir -- 2013 Visual Studio: BlackShades 2014'te çökertilen FBI operasyonu
winSync2: BlackShades Karakteristik Mutex
winSync2 -- "winSync2" = Windows senkronizasyon v2 -- BlackShades'in tanımlayıcı mutex değeri! -- Sistemde zaten çalışıp çalışmadığını kontrol eder -- "2" = versiyon numarası (BlackShades v2+)
Chrome Login Data SQL: Tarayıcı Şifre Çalma
firefox.exe chrome.exe \AppData\Local\Google\Chrome\User Data\Default\Login Data SELE[CT...] -- Chrome Login Data = Chrome'un SQLite şifre veritabanı -- "SELE" = SELECT SQL sorgusu (kısaltılmış görünüm) -- SQL: Chrome'un şifreli Login Data DB'sini doğrudan sorgular -- firefox.exe: hedef süreç listesi (data hook için)
IOC
| SHA256 | 2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Mutex | winSync2 |
| PDB | C:\Users\Stefan\sqliteProject (VS2013) |
BlackShades — Malware Profile
BlackShades. Firefox.exe fake Firefox. Stefan sqliteProject VS2013 PDB. winSync2 mutex. Chrome Login Data SQL.
Malware Type
Infostealer
Programming Language
C++
C2 Protocol
TCP
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — BlackShades
# SHA256
2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | 2f61950c3baa5857818176b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |