Derin PE Analizi — ProcessHollowingLoader | Tehdit: KRİTİK

Dosya Kimliği

SHA2562eac96249e00012e874d427c378cafae63f8ad2aac861121818ccfb4ccb19e90
Boyut1,538,048 byte (ZIP 952KB → PE32+ .NET x64)
Hedef.NET Framework 4.8 (net48)
Versiyon26.4.4.799

PDB OPSEC Hatası: "cool project lol"

ATTRIBUTION: Geliştirici kendi Malware proje klasörünü açığa çıkardı!
D:\Users\virtual\Desktop\Malware\projects\cool project lol\Source\stub\loader\obj\Release\net48\Loader.pdb
D:\Users\virtual\Desktop\Malware\projects\cool project lol\Source\stub\loader_bootstrap\obj\Release\net48\LoaderBootstrap.pdb

-- Geliştirici bilgileri:
  Sürücü: D:\
  Kullanıcı: "virtual" (sanal makine kullanıcı adı)
  Masaüstü: Desktop\Malware\projects\ (Malware klasörü)
  Proje adı: "cool project lol" (gayri ciddi proje ismi)

-- "cool project lol" = açık OPSEC hatası:
  - Geliştirici bunu hafifçe bir "cool project" olarak görüyor
  - "lol" = argo, genç/deneyimsiz geliştirici göstergesi
  - Proje klasörü: Desktop doğrudan (temiz geliştirme ortamı yok)

-- Bileşenler (iki ayrı PDB):
  1. Loader.pdb — ana yükleyici DLL
  2. LoaderBootstrap.pdb — bootstrap/başlatıcı DLL

NtUnmapViewOfSection + SetThreadContext: Process Hollowing

NtUnmapViewOfSection
SetThreadContext

-- Process Hollowing klasik tekniği (RunPE):
  1. CreateProcess(hedef, CREATE_SUSPENDED) → beklet
  2. NtUnmapViewOfSection → hedef prosesin orijinal kodunu bellekten kaldır
  3. VirtualAllocEx → yeni bellek ayır (aynı base address'te)
  4. WriteProcessMemory → malicious payload yaz
  5. SetThreadContext → EIP/RIP = payload entry point
  6. ResumeThread → proses çalışır → içeride payload var

-- Hedef: svchost.exe, explorer.exe, RegAsm.exe, vbc.exe
  (meşru .NET host prosesleri tercih edilir)
-- Avantaj: process name ve PID meşru görünür
-- EDR atlatma: bellek içeriği meşru PE gibi başlar

[*] Injected benign GUI resourceMZ: Enjeksiyon Debug Kanıtı

"[*] Injected benign GUI resourceMZ"

-- Bu debug/log stringi: geliştirici tarafından bırakılan enjeksiyon onayı
-- "[*]" prefix: geliştirici log formatı (başarılı işlem göstergesi)
-- "Injected" = enjeksiyon tamamlandı mesajı
-- "benign GUI resource" = sahte meşru kaynak eklenmiş (icon, manifest)
-- "MZ" = enjekte edilen payload PE başlık işareti

-- Teknik:
  1. Hollowed proses: boş veya sadece GUI kaynaklarıyla başlatıldı
  2. "benign GUI resource" = gerçek bir pencere/ikon eklendi → görünür uygulama gibi
  3. "MZ" = bu güzel görünümlü prosese asıl malicious PE enjekte edildi
-- Kullanıcı: uygulama açık ve normal görünüyor → içeride payload çalışıyor

Loader.dll + LoaderBootstrap.dll + payloadBytes

Loader.dll
LoaderBootstrap.dll
payloadBytes

-- İki aşamalı yükleme:
  1. LoaderBootstrap.dll: ilk bootstrap → Loader.dll'i yükler
  2. Loader.dll: asıl yükleyici → payloadBytes'ı çözüp çalıştırır
  3. payloadBytes: şifreli payload (byte array olarak gömülmüş)

-- .NET 4.8 seçimi: Windows 7-11 arası geniş uyumluluk
-- 26.4.4.799 versiyon numarası: aktif geliştirme süreci (hata takibi için)
-- "Access is denied... administrator privileges": UAC yükseltme talebi
  - Yoksa limited mode → process hollowing düşük ayrıcalıkta da çalışabilir

IOC

SHA2562eac96249e00012e874d427c378cafae63f8ad2aac861121818ccfb4ccb19e90
Dev MakinasıD:\Users\virtual\Desktop\Malware\projects\cool project lol\
TeknikProcess Hollowing (NtUnmapViewOfSection + SetThreadContext)
Versiyon26.4.4.799

ProcessHollowingLoader — Malware Profile

Process hollowing .NET loader. Developer OPSEC fail: PDB path "cool project lol" on D:\Users\virtual\Desktop\Malware\. NtUnmapViewOfSection + SetThreadContext injection. Loader.dll + LoaderBootstrap.dll chain. Version 26.4.4.799.

Malware Type
Loader
Programming Language
C#/.NET
C2 Protocol
Local
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — ProcessHollowingLoader
# SHA256 2eac96249e00012e874d427c378cafae63f8ad2aac861121818ccfb4ccb19e90
TypeValueNote
sha256 2eac96249e00012e874d427c378cafae63f8ad2aac861121818ccfb4ccb19e90
Tags
processhollowingloaderprocess-hollowing-loadercool-project-lol-pdb-opsec-developer-faild-users-virtual-desktop-malware-projects-pdb-path-developer-machinentunmapviewofsection-setthreadcontext-process-hollowing-classicinjected-benign-gui-resource-mz-debug-string-injection-evidenceloaderdll-loaderbootstrap-dll-payload-loading-chainpayloadbytes-payload-variable-dotnet-loaderaccess-denied-administrator-privileges-uac-checkversion-26-4-4-799-loader-versionnet48-dotnet-48-framework-target