Derin PE Analizi — ProcessHollowingLoader | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 2eac96249e00012e874d427c378cafae63f8ad2aac861121818ccfb4ccb19e90 |
|---|---|
| Boyut | 1,538,048 byte (ZIP 952KB → PE32+ .NET x64) |
| Hedef | .NET Framework 4.8 (net48) |
| Versiyon | 26.4.4.799 |
PDB OPSEC Hatası: "cool project lol"
ATTRIBUTION: Geliştirici kendi Malware proje klasörünü açığa çıkardı!
D:\Users\virtual\Desktop\Malware\projects\cool project lol\Source\stub\loader\obj\Release\net48\Loader.pdb D:\Users\virtual\Desktop\Malware\projects\cool project lol\Source\stub\loader_bootstrap\obj\Release\net48\LoaderBootstrap.pdb -- Geliştirici bilgileri: Sürücü: D:\ Kullanıcı: "virtual" (sanal makine kullanıcı adı) Masaüstü: Desktop\Malware\projects\ (Malware klasörü) Proje adı: "cool project lol" (gayri ciddi proje ismi) -- "cool project lol" = açık OPSEC hatası: - Geliştirici bunu hafifçe bir "cool project" olarak görüyor - "lol" = argo, genç/deneyimsiz geliştirici göstergesi - Proje klasörü: Desktop doğrudan (temiz geliştirme ortamı yok) -- Bileşenler (iki ayrı PDB): 1. Loader.pdb — ana yükleyici DLL 2. LoaderBootstrap.pdb — bootstrap/başlatıcı DLL
NtUnmapViewOfSection + SetThreadContext: Process Hollowing
NtUnmapViewOfSection SetThreadContext -- Process Hollowing klasik tekniği (RunPE): 1. CreateProcess(hedef, CREATE_SUSPENDED) → beklet 2. NtUnmapViewOfSection → hedef prosesin orijinal kodunu bellekten kaldır 3. VirtualAllocEx → yeni bellek ayır (aynı base address'te) 4. WriteProcessMemory → malicious payload yaz 5. SetThreadContext → EIP/RIP = payload entry point 6. ResumeThread → proses çalışır → içeride payload var -- Hedef: svchost.exe, explorer.exe, RegAsm.exe, vbc.exe (meşru .NET host prosesleri tercih edilir) -- Avantaj: process name ve PID meşru görünür -- EDR atlatma: bellek içeriği meşru PE gibi başlar
[*] Injected benign GUI resourceMZ: Enjeksiyon Debug Kanıtı
"[*] Injected benign GUI resourceMZ" -- Bu debug/log stringi: geliştirici tarafından bırakılan enjeksiyon onayı -- "[*]" prefix: geliştirici log formatı (başarılı işlem göstergesi) -- "Injected" = enjeksiyon tamamlandı mesajı -- "benign GUI resource" = sahte meşru kaynak eklenmiş (icon, manifest) -- "MZ" = enjekte edilen payload PE başlık işareti -- Teknik: 1. Hollowed proses: boş veya sadece GUI kaynaklarıyla başlatıldı 2. "benign GUI resource" = gerçek bir pencere/ikon eklendi → görünür uygulama gibi 3. "MZ" = bu güzel görünümlü prosese asıl malicious PE enjekte edildi -- Kullanıcı: uygulama açık ve normal görünüyor → içeride payload çalışıyor
Loader.dll + LoaderBootstrap.dll + payloadBytes
Loader.dll LoaderBootstrap.dll payloadBytes -- İki aşamalı yükleme: 1. LoaderBootstrap.dll: ilk bootstrap → Loader.dll'i yükler 2. Loader.dll: asıl yükleyici → payloadBytes'ı çözüp çalıştırır 3. payloadBytes: şifreli payload (byte array olarak gömülmüş) -- .NET 4.8 seçimi: Windows 7-11 arası geniş uyumluluk -- 26.4.4.799 versiyon numarası: aktif geliştirme süreci (hata takibi için) -- "Access is denied... administrator privileges": UAC yükseltme talebi - Yoksa limited mode → process hollowing düşük ayrıcalıkta da çalışabilir
IOC
| SHA256 | 2eac96249e00012e874d427c378cafae63f8ad2aac861121818ccfb4ccb19e90 |
|---|---|
| Dev Makinası | D:\Users\virtual\Desktop\Malware\projects\cool project lol\ |
| Teknik | Process Hollowing (NtUnmapViewOfSection + SetThreadContext) |
| Versiyon | 26.4.4.799 |
ProcessHollowingLoader — Malware Profile
Process hollowing .NET loader. Developer OPSEC fail: PDB path "cool project lol" on D:\Users\virtual\Desktop\Malware\. NtUnmapViewOfSection + SetThreadContext injection. Loader.dll + LoaderBootstrap.dll chain. Version 26.4.4.799.
Malware Type
Loader
Programming Language
C#/.NET
C2 Protocol
Local
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — ProcessHollowingLoader
# SHA256
2eac96249e00012e874d427c378cafae63f8ad2aac861121818ccfb4ccb19e90
| Type | Value | Note |
|---|---|---|
| sha256 | 2eac96249e00012e874d427c378cafae63f8ad2aac861121818ccfb4ccb19e90 |