Derin Statik Analiz — JS Dropper (REQNEWINQUIRY2026PDF) | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 0ccb8ac16a5b64cda0bce7baa106190667c1270991cd434a974d86facd191b9d |
|---|---|
| Dosya Adı | REQNEWINQUIRY2026PDF. (nokta eki olmayan dosya — uzantı gizleme!) |
| Tür | JavaScript source (.js → JScript) |
| Boyut | 328 KB (büyük JS = gömülü payload) |
Kurtarılan AES-CBC Anahtarı ve IV
ŞIFRE ÇÖZÜLDÜ: Sabit kodlu AES anahtarı ve IV statik analizde açığa çıktı!
AES-CBC Anahtarı (base64): zral5sTyAJ6EJ4XJHkyB/9Mas7U3dnt6m9AamTkb6ls= -- Decode: 32 byte → AES-256 anahtarı -- "zral5sTy" - rastgele görünümlü alfanumerik (sözlük değil) AES-CBC IV (base64): ou1OB3BHxuPAynSPd6Kafg== -- Decode: 16 byte → AES-CBC başlatma vektörü -- Bu bilgilerle: JS içindeki şifreli base64 payload çözülebilir! -- PowerShell AES çözücü zinciri: 1. JS → base64 blob alır 2. PowerShell'e iletir → AES-256-CBC ile çözer 3. Çözülen payload → Invoke-Expression ile çalıştırır -- Sabit kodlu anahtar: üretici şaşırtma yapmamış → zayıf OPSEC
terminateRelatedProcesses: Analiz Ortamı Tespiti ve Temizleme
function terminateRelatedProcesses() { ... }
taskkill /f /im wscript.exe
taskkill /f /im cscript.exe
-- İsimli fonksiyon: "ilgili prosesleri sonlandır"
-- wscript.exe/cscript.exe: rakip/eski JS instance'larını öldür
-- Bu fonksiyon sandbox evasion amacıyla çağrılabilir:
- Analiz araçları WScript instance'larını çalıştırıyorsa → tespit
- Çoklu çalışma önleme: eski instance kapanmadan yeni başlamaz
WMI Proses Kontrolü
SELECT * FROM Win32_Process WHERE Name='powershell.exe' OR Name='pwsh.exe' -- WMI sorgusu: PowerShell çalışıyor mu kontrol et -- Sandbox/analiz tespiti: PowerShell sandbox içinde izleniyorsa tespit -- Güvenlik araçları: PowerShell process hook'larını fark edebilir -- Bu sorgu gerçek olarak çalışıyorsa: analiz ortamını tespit edip durabilir
Tam Yürütme Zinciri
ADODB.Stream -- binary veri okuma/yazma (payload indirme/kaydetme) WScript.Shell -- komut çalıştırma Scripting.FileSystemObject -- dosya sistemi (C:\Temp\ dizini oluştur/yaz) MSXML2.DOMDocument.6.0 -- XML/HTTP işleme 1. JS çalıştırılır (double-click veya wscript.exe) 2. ADODB.Stream: AES şifreli base64 blobu belleğe alır 3. C:\Temp\ dizini oluşturulur (staging area) 4. PowerShell aşaması: powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File "..." → AES-256-CBC çözme → Invoke-Expression 5. Çözülen payload çalıştırılır (AsyncRAT veya benzer malware)
IOC
| SHA256 | 0ccb8ac16a5b64cda0bce7baa106190667c1270991cd434a974d86facd191b9d |
|---|---|
| AES-256 Key | zral5sTyAJ6EJ4XJHkyB/9Mas7U3dnt6m9AamTkb6ls= |
| AES-CBC IV | ou1OB3BHxuPAynSPd6Kafg== |
| Staging | C:\Temp\ |
JSDropper — Malware Profile
JavaScript dropper. AES-256-CBC hardcoded key. terminateRelatedProcesses sandbox evasion. WMI PowerShell check. certutil decode chain. ADODB.Stream staging.
Malware Type
Loader
Programming Language
JavaScript
C2 Protocol
HTTP/HTTPS
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — JSDropper
# SHA256
0ccb8ac16a5b64cda0bce7baa106190667c1270991cd434a974d86facd191b9d
| Type | Value | Note |
|---|---|---|
| sha256 | 0ccb8ac16a5b64cda0bce7baa106190667c1270991cd434a974d86facd191b9d |