Manuel Statik Analiz — Carbanak (FIN7) | Tehdit: KRİTİK

Dosya Kimliği

SHA2561627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7
Dosya Adıout.dll (geliştirici çıktı dosyası!)
Boyut449.686 byte (439KB)
String Sayisi2.477

SvchostInjector.x64.dll: Gömülü Svchost Enjektör

ENJEKSİYON İMZASI: svchost.exe enjektör DLL adı açıkça görünüyor!
SvchostInjector.x64.dll
-- "SvchostInjector" = svchost.exe enjeksiyonu yapan DLL
-- ".x64" = 64-bit bileşen
-- Carbanak: svchost.exe içine inject olur → güvenlik yazılımına meşru görünür
-- svchost.exe = Windows çekirdek servis barındırıcısı
-- Bu DLL adı: Carbanak binary içinde gömülü → araç seti ipucu
-- Benzer: IcedID'nin named pipe yöntemi vs Carbanak'ın DLL enjeksiyonu

out.dll: Geliştirici Artifact

out.dll
-- "out" = build çıktı dosyasının geliştirici tarafından yeniden adlandırılmaması
-- Tipik: gcc -o out.dll veya derleme çıktısı default ismi
-- BazarBackdoor "DragTest.dll" ile aynı pattern: geliştirici ismi temizlemeden dağıttı
-- FIN7: profesyonel APT grubu olmasına rağmen bu artifact atlandı

IOC

SHA2561627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7
İnjektörSvchostInjector.x64.dll

Carbanak — Malware Profile

Carbanak (FIN7/Anunak) finansal APT. 1 milyar dolar soygun. ATM cashout, SWIFT fraud. Rusya kaynaklı.

Malware Type
Other
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows
Also Known As (AKA)
FIN7

Capabilities & Behavior

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC List (1 indicators)

IOC — Carbanak
# SHA256 1627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7
TypeValueNote
sha256 1627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7
Tags
carbanakfin7svchostinjector-x64-dll-embedded-svchost-injectorout-dll-developer-artifactukc2a7qgrRR-c2-fragmentsvchost-injection