Derin PE Analizi — ReflectiveDLLInjector (out.dll) | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4 |
|---|---|
| Dosya Adı | out.dll (generic isim — analiz sırasında atanmış) |
| Tür | PE32+ DLL (GUI) x86-64, 7 sections |
| Boyut | 449,686 byte |
| Entropi | 7.34 (packed) |
SvchostInjector.x64.dll: Dahili Modül Adı Sızıntısı
ATTRIBUTION: DLL'in kendi içindeki isim svchost.exe enjeksiyonunu açıkça doğruluyor!
SvchostInjector.x64.dll -- DLL'in PE kaynaklarında gömülü dahili isim -- "Svchost" → hedef: svchost.exe (Windows hizmet barındırıcısı — güvenilir proses) -- "Injector" → açık işlev tanımı: enjeksiyon modülü -- "x64" → 64-bit sistemleri hedefliyor -- Bu isim: geliştirici/operatör tarafından bırakılan parmak izi -- svchost.exe hedefleme: AV/EDR tespitinden kaçınmak için güvenilir Windows prosesi kullanma
ReflectiveLoader: Dosyasız Reflektif DLL Enjeksiyon
ReflectiveLoader -- Stephen Fewer'ın reflektif DLL enjeksiyon tekniği (2008) — hala yaygın kullanımda -- Nasıl çalışır: 1. DLL disk üzerine yazılmaz (dosyasız/fileless) 2. ReflectiveLoader fonksiyonu kendi başına PE yükleyici görevi yapar 3. Hedef proses belleğine kopyalanır ve import tablosu çözülür 4. DllMain entry point çağrılır → payload başlar -- Avantajları: - Disk forensics'te hiçbir iz bırakmaz - LoadLibrary API'sini kullanmaz → hook tabanlı AV tespitinden kaçar - PE başlıkları bellekte gizlenebilir -- Kullanım: Cobalt Strike, Metasploit, Havoc C2, özel RAT yükleyicileri -- Enjeksiyon akışı: 1. CreateToolhelp32Snapshot + Process32FirstW/NextW → proses listesi tara 2. svchost.exe PID'ini bul 3. OpenProcess(PROCESS_ALL_ACCESS) → hedef prosese aç 4. VirtualAlloc → hedef proseste bellek ayır 5. [WriteProcessMemory ile DLL kopyala veya MapViewOfFile ile paylaş] 6. ReflectiveLoader başlangıç adresi hesapla 7. CreateRemoteThread(ReflectiveLoader) → yükleyici çalışır 8. Payload svchost.exe içinde çalışmaya başlar
ntdll.dll Direkt Erişim: ETW ve AV Bypass
%SystemRoot%\sysnative\ntdll.dll
%SystemRoot%\system32\ntdll.dll
-- DLL iki farklı NTDLL yolunu deniyor (64-bit ve 32-bit uyumluluk)
-- Direkt NTDLL amacı:
1. ETW (Event Tracing for Windows) bypass:
- Normal API çağrıları: ntdll.dll hook'ları → AV/EDR kaydeder
- Direkt syscall: hook atlanır → AV göremez
2. API Unhooking:
- AV/EDR ntdll.dll fonksiyonlarını hook'lar
- DLL temiz kopya yüklenir → hook'lar kaldırılır
3. Hell's Gate / Halo's Gate / Tartarus' Gate:
- Syscall numaraları direkt okunur → kernel'a direkt çağrı
-- Günümüz APT araçlarının standart tekniği
128 Karakter Şifreleme Anahtarı + C2 Tanımlayıcı
nKALkEKiVXjbVPQOhmzqzvUjCysdkBnmVvRMGyQLViWmSjNjyNIEZilCtYulOplhyqgTPxyvvmvSGnBGdeDLDWFfgYiabQlNKeYSyneDXIpmDYCAdrgAsFEkdtrTAK -- 128 karakter, alfanümerik -- AES-256 anahtarı (32 byte = 256 bit) veya C2 config şifresi olabilir -- Base64 decode edilirse: 96 byte binary → muhtemelen şifreleme anahtarı ukc2a7qgRRR -- "c2" alt dizisi içeriyor → C2 sunucu konfigürasyon tanımlayıcısı -- "RRR" soneki: çoğaltma/varyant göstergesi -- Pipe iletişimi: PeekNamedPipe → C2 kanalı olarak named pipe kullanıyor
IOC
| SHA256 | 1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4 |
|---|---|
| Dahili İsim | SvchostInjector.x64.dll |
| Teknik | ReflectiveLoader (fileless DLL injection) |
| Hedef | svchost.exe (Windows service host) |
| Config Key | nKALkEKiVXjbVPQO... (128 chars) |
| C2 ID | ukc2a7qgRRR |
ReflectiveDLLInjector — Malware Profile
Reflective DLL injector targeting svchost.exe. Internal name SvchostInjector.x64.dll. ReflectiveLoader fileless injection. Direct NTDLL syscall access for ETW/AV bypass. Process enumeration via CreateToolhelp32Snapshot. Memory-mapped injection. 128-char AES key config string.
Malware Type
Loader
Programming Language
C/C++
C2 Protocol
Named Pipe/C2
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — ReflectiveDLLInjector
# SHA256
1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4
| Type | Value | Note |
|---|---|---|
| sha256 | 1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4 |