Manuel Statik Analiz — DonutLoader | Tehdit: ORTA

Dosya Kimliği

SHA2560554e81334b4df581097689b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıKernel Sideloader v5.bat
Boyut1.097.689 byte (1MB BAT script)
String Sayisi274 (yoğun obfuskasyon)

Kernel Sideloader v5: BAT Tabanlı Kernel Yükleyici

Kernel Sideloader v5.bat
-- "Kernel" = kernel-mode erişim hedefleniyor
-- "Sideloader" = DLL sideloading tekniği
-- "v5" = beşinci versiyon (önceki: v1-v4 aktif kampanya)
-- BAT script → kernel sürücü yükleme → privilege escalation
-- 1MB BAT: çoğu obfuskated base64 yük
-- Sadece 274 string: geri kalan veri binary encoded

Rastgele Kelime + Satoshi Değişken İsimleri

Obfuskasyon Tekniği: Anlamlı İngilizce kelimeler değişken adı olarak!
BlanketDaughter = vTO8Im86MPGxGUCdPMqv2PaYxBXeedpd7f1ojVS5vbYDvwQQwjrMXb1BwAc8P56n...
photoSatoshi    = Gjfs1f21fEBS3SKbE5fUbJoERrpVsx2XZCjQxl7zTfOBqqQ6bG/P/sDM5y4gyArJy...
-- "BlanketDaughter" = gerçek anlamsız İngilizce kelime kombinasyonu
-- "photoSatoshi" = "photo" + "Satoshi" (Nakamoto = Bitcoin yaratıcısı)
  → Bitcoin referansı: kripto para ödemesi veya mining amacı?
-- Değerler: base64 encoded → PowerShell/BAT ile decode → shellcode
-- AV imzaları: anlamlı değişken ismi → byte pattern yok → tespiti zorlaştırıyor

IOC

SHA2560554e81334b4df581097689b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureKernel Sideloader v5.bat
ObfuskasyonBlanketDaughter, photoSatoshi base64 encoded variables

DonutLoader — Malware Profile

DonutLoader BAT tabanlı kernel sideloading. Kernel Sideloader v5.bat. BlanketDaughter photoSatoshi base64 variables. AV bypass.

Malware Type
Loader
Programming Language
BAT/PowerShell
C2 Protocol
HTTP
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — DonutLoader
# SHA256 0554e81334b4df581097689b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 0554e81334b4df581097689b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
donutloaderkernel-sideloader-v5-batkernel-sideloadingblanketdaughter-base64photosatoshi-variablesatoshi-bitcoin-referencerandom-word-variable-names