Manuel Statik Analiz — Carbanak (FIN7) | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 1627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7 |
|---|---|
| Dosya Adı | out.dll (geliştirici çıktı dosyası!) |
| Boyut | 449.686 byte (439KB) |
| String Sayisi | 2.477 |
SvchostInjector.x64.dll: Gömülü Svchost Enjektör
ENJEKSİYON İMZASI: svchost.exe enjektör DLL adı açıkça görünüyor!
SvchostInjector.x64.dll -- "SvchostInjector" = svchost.exe enjeksiyonu yapan DLL -- ".x64" = 64-bit bileşen -- Carbanak: svchost.exe içine inject olur → güvenlik yazılımına meşru görünür -- svchost.exe = Windows çekirdek servis barındırıcısı -- Bu DLL adı: Carbanak binary içinde gömülü → araç seti ipucu -- Benzer: IcedID'nin named pipe yöntemi vs Carbanak'ın DLL enjeksiyonu
out.dll: Geliştirici Artifact
out.dll -- "out" = build çıktı dosyasının geliştirici tarafından yeniden adlandırılmaması -- Tipik: gcc -o out.dll veya derleme çıktısı default ismi -- BazarBackdoor "DragTest.dll" ile aynı pattern: geliştirici ismi temizlemeden dağıttı -- FIN7: profesyonel APT grubu olmasına rağmen bu artifact atlandı
IOC
| SHA256 | 1627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7 |
|---|---|
| İnjektör | SvchostInjector.x64.dll |
Carbanak — Malware Profile
Carbanak (FIN7/Anunak) finansal APT. 1 milyar dolar soygun. ATM cashout, SWIFT fraud. Rusya kaynaklı.
Malware Type
Other
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows
Also Known As (AKA)
FIN7
Capabilities & Behavior
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC List (1 indicators)
IOC — Carbanak
# SHA256
1627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7
| Type | Value | Note |
|---|---|---|
| sha256 | 1627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7 |