Manuel Statik Analiz — Matanbuchus Loader | Tehdit: YUKSEK

Dosya Kimliği

SHA25677a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut1.229.312 byte (1.2MB, DLL)
String Sayisi4.295

Session key sent: Özel Kripto El Sıkışma

C2 PROTOKOL: Oturum anahtarı iletimi!
Session key sent b[...]
-- "Session key sent" = oturum anahtarı gönderildi (log mesajı)
-- Matanbuchus özel C2 protokolü:
--   1) Bağlan C2'ye
--   2) Oturum anahtarı üret (session key)
--   3) C2'ye gönder → şifreli kanal kuruldu
--   4) Log: "Session key sent" → bağlantı onaylandı
-- Özel TLS yerine kendi kripto protokolü: NSS kütüphanesi

no malloc support: C Runtime Mesajı

no malloc support
-- "malloc" = C standart kütüphane bellek tahsisi
-- "no malloc support" = malloc desteklenmiyor hatası
-- Windows DLL'de garip: Matanbuchus POSIX-uyumlu kütüphane gömüyor
-- Veya: custom allocator ile malloc'u devre dışı bırakmış
-- Bellek yönetimi: heap tracking'i engellemek için

IOC

SHA25677a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
ProtokolÖzel kripto el sıkışma (Session key)

Matanbuchus — Malware Profile

Matanbuchus loader. Session key özel kripto el sikisma. no malloc support C runtime. CreateMutexW.

Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Windows

Technical Details

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — Matanbuchus
# SHA256 77a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 77a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
matanbuchussession-key-sent-log-messagecustom-crypto-handshakecreatemutexw-mutexno-malloc-support-c-runtimeloader-dropper