Manuel Statik Analiz — MetaStealer | Tehdit: ORTA

Dosya Kimliği

SHA2566c5f08e03aea51dd1570304b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıoc.exe ("oc" = open channel veya kısaltma)
Boyut1.570.304 byte (1.5MB)
String Sayisi7.655

GCC 6.3.0 Cygwin: Geliştirici Build Ortamı

Build Bilgisi: Cygwin/GCC ile derlendi!
../../../src/gcc-6.3.0/libgcc/config/i386/cygwin.S
-- GCC 6.3.0 = 2017 GNU Compiler Collection versiyonu
-- "cygwin.S" = Cygwin Windows emulation layer kaynak dosyası
-- "i386" = 32-bit x86 hedef
-- libgcc/config = GCC runtime library configuration
-- Bu yol geliştirici makinesinin kaynak ağacından geliyor
-- Cygwin + GCC 6.3.0: Windows'ta Linux benzeri geliştirme ortamı

Sandboxie + CheckRemoteDebuggerPresent

SOFTWARE\Sandboxie     -- Sandboxie registry key kontrol
Sandboxie detected     -- Açık metin tespit mesajı!
CheckRemoteDebuggerPresent  -- Remote debugger (Windbg, x32dbg) kontrolü
-- "Sandboxie detected" = MetaStealer Sandboxie'yi tespit edince çıkıyor
-- CheckRemoteDebuggerPresent: dinamik analiz tespiti

Şifreleme Debug Çıktısı

Header parsed - headerSize: %d, blockSize: %d, keySize: %d, encryptedSize: %d
ERROR:
-- Format string ile headerSize, blockSize, keySize, encryptedSize debug çıktısı
-- MetaStealer şifreli C2 iletişimi veya lokal veri şifreleme kullanıyor
-- keySize: şifreleme anahtarı boyutu (AES-128/256?)
-- encryptedSize: şifreli payload boyutu
-- Geliştirici debug kodu üretimde bırakılmış!

IOC

SHA2566c5f08e03aea51dd1570304b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
BuildGCC 6.3.0 Cygwin i386
Anti-DebugSandboxie detect + CheckRemoteDebuggerPresent

MetaStealer — Malware Profile

MetaStealer GCC 6.3.0 Cygwin build. oc.exe. Sandboxie detect CheckRemoteDebuggerPresent. AES/block sifreli C2.

Malware Type
Infostealer
Programming Language
C++ (GCC)
C2 Protocol
HTTP
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — MetaStealer
# SHA256 6c5f08e03aea51dd1570304b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 6c5f08e03aea51dd1570304b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
metastealeroc-exegcc-6-3-0-cygwin-buildlibgcc-cygwinsandboxie-detectcheckremotedebuggerpresentencryption-debug-outputheader-parsed