Derin PE Analizi — SMBWorm (LBB_pass.bin) | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334 |
|---|---|
| Dosya Adı | LBB_pass.bin ("LBB" = muhtemelen kampanya kodu, "pass" = parola hırsızı) |
| Tür | PE32 executable (GUI) Intel 80386, 3 sections |
| Entropi | 7.99 (maksimum packing — neredeyse şifrelenmiş) |
| String Sayısı | 1,169 (çok az — ağır obfuskasyon) |
NetShareEnum + WNetGetConnectionW: SMB Lateral Movement
SMB YAYILMA: Ağ paylaşımlarını tarayarak yayılan solucan davranışı!
NETAPI32.dll → NetShareEnum
MPR.dll → WNetGetConnectionW
-- NetShareEnum(serverName, level, bufptr, maxlen, entriesread, totalentries, resume)
- Hedef sunucudaki tüm paylaşımları listeler (C$, D$, ADMIN$, özel paylaşımlar)
- Admin paylaşımları da dahil
- Lateral movement için kullanım:
1. Ağdaki diğer makineleri keşfet (ICMP ping ile)
2. Her makine için NetShareEnum çalıştır
3. Yazılabilir paylaşımları tespit et
4. Kendini kopyala → otomatik çalıştırma mekanizması ekle
-- WNetGetConnectionW(lpLocalName, lpRemoteName, lpnLength)
- Mevcut ağ bağlantılarını (mapped drive) tespit eder
- C:, D: → \\server\share bağlantısını öğrenir
- Zaten bağlı ağ sürücülerinden yayılır
-- Bu kombinasyon: NotPetya, WannaCry, EternalBlue sonrası solucanların standart tekniği
IcmpSendEcho: ICMP Ağ Tarama
IPHLPAPI.DLL → IcmpSendEcho -- ICMP ping paketi gönder → yanıt gelirse makine aktif -- Ağ tarama akışı: 1. Mevcut IP adresini al → /24 subnet'i hesapla 2. Her IP'ye IcmpSendEcho → aktif makineleri listele 3. Aktif makinelere NetShareEnum → paylaşımları listele 4. Yazılabilir paylaşıma kopyalan -- Neden ICMP tercih ediliyor: - Hız: ping → yanıt < 1ms local ağda - Gizlilik: port tarama yerine ping → daha az gürültü - Windows dahili API: harici araç gerekmez
CryptStringToBinaryA: Çalışma Zamanında C2 Adresi Çözme
CRYPT32.dll → CryptStringToBinaryA -- Base64 veya hex string'i binary veriye dönüştürür -- Kullanım: hardcoded C2 adresi şifreli → çalışma zamanında çözme CRYPT_STRING_BASE64 = 1 → Base64'ten binary'ye CRYPT_STRING_HEX = 4 → Hex'ten binary'ye -- Neden statik analiz zor: - C2 adresi ikili dosyada şifreli görünür - "C2hzY", "ZXC2=" gibi Base64 parçaları → decoded: C2 adresi - Strings analizi ile çözülemiyor → dinamik analiz gerekiyor - DLL'ler: WS2_32.dll dinamik yükleniyor → hooklama zor
CoGetObject + VirtualProtect: UAC Bypass + Shellcode
ole32.dll → CoGetObject
-- COM Moniker UAC bypass tekniği:
CoGetObject("Elevation:Administrator!new:{guid}", ...) → UAC prompt'suz yüksek ayrıcalık
- Windows Installer UAC bypass vektörü
- "Elevation Moniker" tekniği
VirtualProtect(addr, size, PAGE_EXECUTE_READWRITE, &oldprot)
-- Belleği çalıştırılabilir yap → shellcode çalıştırma
-- Akış: CryptStringToBinaryA → shellcode çözüldü → VirtualProtect → çalıştır
-- TLS callback (1 fonksiyon): anti-debug başlatma
- TLS = Thread Local Storage: main() öncesinde çalışır
- IsDebuggerPresent / anti-debug kod → debug ortamında farklı davranır
-- .data section: zero length
- Packing artifact: tüm data çalışma zamanında belirir
- Unpacker stub: sıkıştırılmış payload'ı açar → bellekte çalıştırır
IOC
| SHA256 | 183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334 |
|---|---|
| Entropi | 7.99 (max) |
| Lateral Movement | NetShareEnum + WNetGetConnectionW + IcmpSendEcho |
| UAC Bypass | CoGetObject (COM Elevation Moniker) |
SMBWorm — Malware Profile
SMB worm with lateral movement. NetShareEnum + WNetGetConnectionW for SMB share enumeration. IcmpSendEcho for network host discovery. CryptStringToBinaryA for Base64 C2 address decoding. CoGetObject COM UAC bypass. Entropy 7.99 maximum packing.
Malware Type
Botnet
Programming Language
C
C2 Protocol
TCP/SMB
Target Systems
Küresel
Capabilities & Behavior
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC List (1 indicators)
IOC — SMBWorm
# SHA256
183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334
| Type | Value | Note |
|---|---|---|
| sha256 | 183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334 |