Manuel Statik Analiz — DanaBot Banking Trojan | Tehdit: KRITIK

Dosya Kimliği

SHA256247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut1.400.832 byte
String Sayisi2.338

DanaBot'un Evrimi

DanaBot, 2018'de Avustralya'da ortaya çıkan Delphi tabanlı modüler banking trojan'dır. 2022'de Rusya'nın NATO iletişimini hedefleyen Cobalt Strike dropper olarak yeniden konumlandırıldı. Temmuz 2023'te FBI/DOJ operasyonuyla ilgili altyapı kapatıldı. Operatörler, müşterilerine farklı ID numaraları tahsis eden MaaS modeli kullandı.

Teknik Özellikler

RSA-2048 + RC4 -- İki katmanlı C2 iletişim şifrelemesi
DLL Eklentileri -- Modüler mimari (VNC, sniffer, keylogger, stealer)
CreateMutexA    -- Çoklu enfeksiyon önleme mutex'i
Anti-Debug      -- IsDebuggerPresent kontrolü

IOC

SHA256247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
AtıfRusya bağlantılı tehdit aktörü (malprogrammer takma adı)
ŞifrelemeRSA-2048 + RC4 iki katman

DanaBot — Malware Profile

DanaBot, Loader kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, hedef sisteme ek zararlı yazılım yüklemek amacıyla tasarlanmış modüler bir yükleyici (loader) olarak tespit edilmiştir. Spam kampanyaları veya drive-by download saldırıları aracılığıyla dağıtılan bu yükleyici, sisteme sızdıktan sonra bankacılık trojanları, fidye yazılımları veya diğer ikinci aşama yükler indirebilmektedir.

Malware Type
Loader
Programming Language
Delphi
C2 Protocol
TCP
Target Systems
Windows

Technical Details

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — DanaBot
# SHA256 247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
danabotbanking-trojancobalt-strike-dropperrsa-rc4two-layer-encryptionrussia-ta