Statik Analiz — ObfuscatedNETDropper | Tehdit: ORTA

Dosya Kimliği

SHA25687053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
Boyut605,184 byte (PE32 .NET x86, 3 sections)
Framework.NET v4.0.30319
GUID{1F4B02DF-696E-486A-8B35-F56CCA1C23C6}
Entropi7.182 (probably packed/obfuscated)

Future Timestamp: Anti-Sandbox / Anti-Analiz

GELECEK TARİH: PE timestamp gelecek bir tarih gösteriyor — sandbox tespiti!
PE Timestamp: future time (pescan: "timestamp: future time")

-- Normal PE: derleme zamanı → geçmişte bir tarih
-- Bu binary: gelecekte bir timestamp
-- Amaç:
  1. Sandbox'lar genellikle timestamp kontrolü yapar
  2. "future timestamp" → sandbox uyarısı tetikler
  3. Ancak bu özelliği sahte olarak ayarlamak: analisti yanıltır
  4. Bazı AV motorları timestamp anomalisini makine öğrenimi ile tespit eder
  5. Malware operatörü "statik analizi bozma" amaçlı kullanıyor
-- Tarih değişikliği: PE Optional Header → TimeDateStamp field manipülasyonu
-- Taktik: pek çok modern .NET obfuscator bu özelliği destekler

AesCryptoServiceProvider + RSACryptoServiceProvider

AesCryptoServiceProvider    -- AES simetrik şifreleme
RSACryptoServiceProvider    -- RSA asimetrik şifreleme

-- Hibrit şifreleme modeli (dropper + payload):
  1. RSA: rastgele AES anahtar şifrele (public key ile)
  2. AES: payload veya C2 komutlarını şifrele
  3. RSA şifreli AES key → operatör çözebilir
-- Obfuskatif string listesi (aynı pattern):
  "V5D5djrsaThPDZj8Tau", "A1wRc4LBZ9ynMaRvHC4"
  "LuLZUIuxdUHc2aJ3gr", "Ehs6p1nwKvc2VUcNBI0"
  "PPooX7eh6TNC2EmFUP2", "snntaJPxmwMkW8lvC2e"
  → 20+ karakter rastgele string: şifrelenmiş config veya AES key blokları
-- RSACryptoServiceProvider: .NET System.Security.Cryptography namespace

Efyfqp.exe: Karisman Yeniden Adlandırma

Efyfqp.exe

-- "Efyfqp" = anlamsız, rastgele görünen karakter dizisi
-- Dropped EXE isimleri genellikle:
  1. Rastgele 6-8 harf → AV imza tespitini zorlaştırır
  2. Her kurban için farklı üretilir (dinamik obfuske)
-- Muhtemel bırakma yeri:
  %TEMP%\Efyfqp.exe, %APPDATA%\Efyfqp.exe,
  C:\Users\Public\Efyfqp.exe
-- "Stub.pdb" (624391da batch'inden): Efyfqp.exe'nin Stub olduğunu gösteriyor
  → Dropper ana binary'yi şifreli içinde taşıyor, drop edip çalıştırıyor
-- İki aşama: ObfuscatedNETDropper → Efyfqp.exe (asıl payload)

IOC

SHA25687053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
Drop EXEEfyfqp.exe (random-named payload)
TimestampFuture time (anti-analysis PE trick)
CryptoAES + RSA (.NET CryptoServiceProvider)
GUID{1F4B02DF-696E-486A-8B35-F56CCA1C23C6}

ObfuscatedNETDropper — Malware Profile

.NET 4.0 dropper with heavy obfuscation. Future timestamp anti-analysis. RSA+AES crypto (RSACryptoServiceProvider + AesCryptoServiceProvider). Drops randomly named Efyfqp.exe payload. Long random obfuscated strings. GUID {1F4B02DF-696E-486A-8B35-F56CCA1C23C6}.

Malware Type
Loader
Programming Language
C#/.NET
C2 Protocol
Unknown
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — ObfuscatedNETDropper
# SHA256 87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
TypeValueNote
sha256 87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
Tags
obfuscatedneldropperobfuscated-net-dropperfuture-timestamp-anti-analysis-anti-sandboxaescryptoserviceprovider-rsacryptoserviceprovider-dotnet-cryptoefyfqp-exe-randomly-renamed-dropped-executablelong-random-obfuscated-string-detection-evasionguid-1f4b02df-696e-486a-8b35-f56cca1c23c6net-v40-30319-dotnet-framework-40