Manuel Statik Analiz — SmokeLoader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | autoruns.exe (Sysinternals Autoruns kılığı!) |
| Boyut | 520.136 byte (520KB) |
| String Sayisi | 1.142 (düşük string = obfuskasyon) |
Sysinternals Autoruns Sahteciği
Yüksek Risk: Güvenilir Windows güvenlik aracı kılığına giriyor!
autoruns.exe -- Sysinternals Autoruns = Microsoft güvenlik aracı (Mark Russinovich) -- Güvenlik uzmanlarının kullandığı araç adını taklit ediyor -- Güvenlik analistini kandırmak için bilinçli seçim! -- "autoruns.exe çalışıyorsa zararsız" yanılgısı yaratır
Geliştirici Parmak İzi — Spaso
C:\Users\Spaso\source\repos\stub\Release\stub.pdb -- "Spaso" = Sırp/Boşnak erkek ismi (Srpca: Spasoje kısaltması) -- Visual Studio \source\repos\ = VS varsayılan proje dizini -- "stub" = packer/loader proje adı (klasik SmokeLoader adlandırması) -- Release build: debug bilgisi kasıtlı bırakılmış veya strip edilmemiş -- Geliştirici makine username → OSINT linki mümkün
SmokeLoader Hakkında
SmokeLoader (Dofoil) 2011'de ortaya çıkan modüler loader'dır. İkinci aşama malware indirir (Vidar, Amadey, RedLine, Raccoon). Anti-VM ve anti-debug teknikleri güçlüdür. Rusça forum Dark0de'de $400/ay fiyata kiralanır. Process injection ile system süreçleri içinde gizlenir.
IOC
| SHA256 | f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Kılık | autoruns.exe (Sysinternals sahteciği) |
| PDB | C:\Users\Spaso\source\repos\stub\Release\stub.pdb |
SmokeLoader2 — Malware Profile
SmokeLoader modular loader. autoruns.exe Sysinternals taklidi. C2rj$ c2VIz c2 substrings. GetTickCount64. 2014den beri aktif.
Malware Type
Loader
Programming Language
C
C2 Protocol
HTTP/TCP
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — SmokeLoader2
# SHA256
f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |