Derin PE Analizi — ReflectiveDLLInjector (out.dll) | Tehdit: KRİTİK

Dosya Kimliği

SHA2561627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4
Dosya Adıout.dll (generic isim — analiz sırasında atanmış)
TürPE32+ DLL (GUI) x86-64, 7 sections
Boyut449,686 byte
Entropi7.34 (packed)

SvchostInjector.x64.dll: Dahili Modül Adı Sızıntısı

ATTRIBUTION: DLL'in kendi içindeki isim svchost.exe enjeksiyonunu açıkça doğruluyor!
SvchostInjector.x64.dll
-- DLL'in PE kaynaklarında gömülü dahili isim
-- "Svchost" → hedef: svchost.exe (Windows hizmet barındırıcısı — güvenilir proses)
-- "Injector" → açık işlev tanımı: enjeksiyon modülü
-- "x64" → 64-bit sistemleri hedefliyor
-- Bu isim: geliştirici/operatör tarafından bırakılan parmak izi
-- svchost.exe hedefleme: AV/EDR tespitinden kaçınmak için güvenilir Windows prosesi kullanma

ReflectiveLoader: Dosyasız Reflektif DLL Enjeksiyon

ReflectiveLoader
-- Stephen Fewer'ın reflektif DLL enjeksiyon tekniği (2008) — hala yaygın kullanımda
-- Nasıl çalışır:
  1. DLL disk üzerine yazılmaz (dosyasız/fileless)
  2. ReflectiveLoader fonksiyonu kendi başına PE yükleyici görevi yapar
  3. Hedef proses belleğine kopyalanır ve import tablosu çözülür
  4. DllMain entry point çağrılır → payload başlar
-- Avantajları:
  - Disk forensics'te hiçbir iz bırakmaz
  - LoadLibrary API'sini kullanmaz → hook tabanlı AV tespitinden kaçar
  - PE başlıkları bellekte gizlenebilir
-- Kullanım: Cobalt Strike, Metasploit, Havoc C2, özel RAT yükleyicileri

-- Enjeksiyon akışı:
  1. CreateToolhelp32Snapshot + Process32FirstW/NextW → proses listesi tara
  2. svchost.exe PID'ini bul
  3. OpenProcess(PROCESS_ALL_ACCESS) → hedef prosese aç
  4. VirtualAlloc → hedef proseste bellek ayır
  5. [WriteProcessMemory ile DLL kopyala veya MapViewOfFile ile paylaş]
  6. ReflectiveLoader başlangıç adresi hesapla
  7. CreateRemoteThread(ReflectiveLoader) → yükleyici çalışır
  8. Payload svchost.exe içinde çalışmaya başlar

ntdll.dll Direkt Erişim: ETW ve AV Bypass

%SystemRoot%\sysnative\ntdll.dll
%SystemRoot%\system32\ntdll.dll
-- DLL iki farklı NTDLL yolunu deniyor (64-bit ve 32-bit uyumluluk)
-- Direkt NTDLL amacı:
  1. ETW (Event Tracing for Windows) bypass:
     - Normal API çağrıları: ntdll.dll hook'ları → AV/EDR kaydeder
     - Direkt syscall: hook atlanır → AV göremez
  2. API Unhooking:
     - AV/EDR ntdll.dll fonksiyonlarını hook'lar
     - DLL temiz kopya yüklenir → hook'lar kaldırılır
  3. Hell's Gate / Halo's Gate / Tartarus' Gate:
     - Syscall numaraları direkt okunur → kernel'a direkt çağrı
-- Günümüz APT araçlarının standart tekniği

128 Karakter Şifreleme Anahtarı + C2 Tanımlayıcı

nKALkEKiVXjbVPQOhmzqzvUjCysdkBnmVvRMGyQLViWmSjNjyNIEZilCtYulOplhyqgTPxyvvmvSGnBGdeDLDWFfgYiabQlNKeYSyneDXIpmDYCAdrgAsFEkdtrTAK
-- 128 karakter, alfanümerik
-- AES-256 anahtarı (32 byte = 256 bit) veya C2 config şifresi olabilir
-- Base64 decode edilirse: 96 byte binary → muhtemelen şifreleme anahtarı

ukc2a7qgRRR
-- "c2" alt dizisi içeriyor → C2 sunucu konfigürasyon tanımlayıcısı
-- "RRR" soneki: çoğaltma/varyant göstergesi
-- Pipe iletişimi: PeekNamedPipe → C2 kanalı olarak named pipe kullanıyor

IOC

SHA2561627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4
Dahili İsimSvchostInjector.x64.dll
TeknikReflectiveLoader (fileless DLL injection)
Hedefsvchost.exe (Windows service host)
Config KeynKALkEKiVXjbVPQO... (128 chars)
C2 IDukc2a7qgRRR

ReflectiveDLLInjector — Malware Profile

Reflective DLL injector targeting svchost.exe. Internal name SvchostInjector.x64.dll. ReflectiveLoader fileless injection. Direct NTDLL syscall access for ETW/AV bypass. Process enumeration via CreateToolhelp32Snapshot. Memory-mapped injection. 128-char AES key config string.

Malware Type
Loader
Programming Language
C/C++
C2 Protocol
Named Pipe/C2
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — ReflectiveDLLInjector
# SHA256 1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4
TypeValueNote
sha256 1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4
Tags
reflectivedllinjectorreflective-dll-injectorsvchost-injectorsvchostinjector-x64-dll-internal-module-namereflectiveloader-fileless-reflective-dll-injectionntdll-direct-syscall-etw-av-bypasscreatetoolhelp32snapshot-process32firstw-process-enumerationiswow64process-architecture-targetingpeekednamedpipe-pipe-c2-channelmapviewoffile-memory-mapped-injection128-char-encryption-key-c2-configukc2a7qgrrr-c2-identifiersuspicious-imagebase-pe-anomaly