"[*] Injected benign GUI resourceMZ"\n -> Kotu amacli PE'ye yaniltici bir grafik kaynak enjekte eder\n -> AV/EDR kaynak analizi atlama teknigidir\n\n"Bootstrap" string\n -> LoaderBootstrap.pdb ile eslesiyor (iki asamali yukleyici)\n\nSystem.IO.MemoryMappedFiles\n -> Bellek haritalama ile shellcode/PE yukleme\n\nSystem.Security.Cryptography\n -> Yukun (payload) sifrelenmis sekilde gizlenmesi
Mimari
2eac9624, iki asamali bir .NET yukleyicidir (Loader + Bootstrap). Birinci asama (LoaderBootstrap), hedef surecu hazirlar ve sifresiz calistirmak icin ortami kurar. Ikinci asama (Loader), bellege haritalanmis alanda gercek yuku (muhtemelen RAT veya miner) calistirir. "Injected benign GUI resourceMZ" teknigi, sahte bir grafik kaynak eklenerek statik AV tarama atlatma saglar.