Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: YUKSEK

Dosya Kimliği

SHA256ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut775.168 byte (775KB)
String Sayisi3.679

Malleable C2 Profile Parser Hataları

Cobalt Strike Malleable Profile: Config parser artifact'ları!
@unsupported method:      -- desteklenmeyen yöntem hatası
@config                   -- config parser keyword
@key not found:           -- config anahtarı bulunamadı
@string literal as key    -- string literal'ı key olarak kullanma hatası
-- Cobalt Strike Malleable C2 profile YAML/TOML benzeri syntax!
-- Bu hata mesajları profil okuyucunun iç error handler'larından
-- Profile syntax: "http-get", "http-post", "stage", "post-ex" vb.
-- "@key not found" → beacon config key eksikliği → fallback'e düşüyor
-- "@unsupported method" → CS3'te kaldırılan eski CS2 profil direktifi

Çift IsDebuggerPresent

IsDebuggerPresent
IsDebuggerPresent
-- Aynı string iki kez! İki farklı kod yolunda debug kontrol:
  1. Başlangıç kontrolü: yürütmeden önce
  2. Payload inject öncesi: inject sırasında
-- Cobalt Strike beacon: farklı aşamalarda birden fazla debug kontrol

IOC

SHA256ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

CobaltStrike3 — Malware Profile

Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.

Malware Type
C2Framework
Programming Language
C/C++
C2 Protocol
HTTP/DNS
Target Systems
Kurumsal

Capabilities & Behavior

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

IOC List (1 indicators)

IOC — CobaltStrike3
# SHA256 ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
cobalt-strikeconfig-yaml-toml-parserkey-not-found-errorstring-literal-keyunsupported-methoddouble-isdebuggerpresent