Manuel Statik Analiz — IcedID | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 17014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | info_IR-99661418.msi |
| Boyut | 1.130.496 byte (1.1MB MSI) |
| String Sayisi | 5.745 |
Fatura Kopyası Lure
info_IR-99661418.msi -- "IR" = Invoice Receipt (fatura makbuzu) -- #99661418 = sekiz haneli belge seri numarası -- "info_" prefix = "fatura bilgisi" iddiası -- MSI = "yazılım kurulum" görünümlü teslimat -- Finans/muhasebe personeli hedef alınıyor
C2 Domain: NSABX.GG
Aktif C2: NSABX.GG (.gg Guernsey TLD)!
NSABX.GG -- .GG = Guernsey Crown bağlı bölge TLD'si (İngiltere) -- 5 karakter rastgele: N-S-A-B-X (anlamsız kombinasyon) -- .GG TLD ucuz ve kayıt kolay → saldırgan tercih ediyor -- IcedID C2 kısa domain tercih eder: tespit/kara liste zor
Özel Sıkıştırma: cT_Gzip_Uncompress
cT_Gzip_Uncompress -- IcedID özel Gzip sıkıştırma çözme rutini -- "cT_" prefix = özel kütüphane/modül adlandırması -- Payload/config şifreli + sıkıştırılmış şekilde gömülmüş -- RtlLookupFunctionEntry: exception handler araştırması (anti-debug)
IcedID Hakkında
IcedID (BokBot) 2017'de banking trojan olarak başladı. TrickBot/Emotet'in yerini aldı. Cobalt Strike, Ryuk ve Conti için başlangıç vektörüdür. 2023'te IcedID Lite varyantı tespit edildi: ransomware dağıtımına odaklanmış daha küçük boyut. BackConnect proxy modülü ile ağ içinde yanal hareket sağlar.
IOC
| SHA256 | 17014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | NSABX.GG |
| Lure | info_IR-99661418.msi (Invoice Receipt #99661418) |
IcedID3 — Malware Profile
IcedID BokBot 2017. info_IR-99661418.msi fatura. NSABX.GG C2. cT_Gzip_Uncompress. CobaltStrike+Ryuk loader.
Malware Type
Loader
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Küresel Finans
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — IcedID3
# DOMAIN
nsabx.gg
| Type | Value | Note |
|---|---|---|
| domain | nsabx.gg |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| NSABX.GG | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.