Derin Analiz - Svchost VNC Injector DLL | Tehdit: KRITIK

Dosya Kimligi

SHA2561627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4
Boyut449,686 byte (439 KB) PE32+ x86-64 DLL, 7 section
Entropi7.34 (muhtemelen sifreli bolum)
Dosya adiout.dll (kendi adi: SvchostInjector.x64.dll)
ImageBaseSupheli (non-standard)

Export Analizi

KRITIK: DLL kendini SvchostInjector.x64.dll olarak tanitiyor!
Export Name: SvchostInjector.x64.dll\nExport Function:\n  Ordinal: 1\n  Address: 0x4e10\n  Name:    MapDLL         <-- ana enjeksiyon fonksiyonu

Reflective Injection + VNC

ReflectiveLoader  -- Cobalt Strike / Metasploit tarzı reflective DLL yukleme\nsvchost.exe       -- hedef proses (Windows servis barindirici)\nVnc_MT            -- VNC modulu (multi-threaded, uzak masaustu erisimi)\nukc2a7qgRRR       -- mutex veya sifreli marker string\n\nImport analizi:\n  CreateToolhelp32Snapshot / Process32FirstW / Process32NextW\n      -> svchost.exe PID tespiti icin proses numaralama\n  OpenProcess / VirtualAlloc / WaitForSingleObject\n      -> uzak proses bellek ayirma + kod enjeksiyonu\n  CreateFileMappingW / MapViewOfFile\n      -> dosya haritalama ile DLL yukleme (reflective injection yontemi)\n  IsWow64Process -- 32/64-bit uyumluluk kontrolu

Cobalt Strike Benzeri Mimari

ReflectiveLoader export'u Cobalt Strike BOF'larinin ve Metasploit meterpreter'in imzasidir!
_RDATA bolumu (supheli isim, kucuk boyut):\n  Cobalt Strike harici modullerinde tipik "supheli bolum adi" teknigidir\n\nVNC Injector Akisi:\n  1. MapDLL() cagrisi ile calistiriliyor (reflective)\n  2. Process enum: svchost.exe bulunur\n  3. CreateFileMapping + MapViewOfFile ile DLL haritalama\n  4. Vnc_MT modulu svchost icinde calistirilir\n  5. Uzak saldirgan VNC ile kurban ekranina erisir

IOC

SHA2561627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4
DLL ExportSvchostInjector.x64.dll :: MapDLL (ordinal 1)
TeknikReflective DLL Injection -> svchost.exe
PayloadVnc_MT (VNC multi-threaded uzak ekran erisimi)
Markerukc2a7qgRRR (mutex/sifreli ID)

SvchostVNCInjector — Malware Profile

ReflectiveLoader export + VNC module (Vnc_MT) ile svchost.exe enjeksiyonu yapan x64 DLL. MapDLL export fonksiyonu araciligiyla calistirilir. CreateToolhelp32Snapshot ile svchost.exe bulunur, CreateFileMappingW + MapViewOfFile ile DLL bellege yuklenir. Cobalt Strike BOF mimarisini andiriyor. Uzak masaustu erisimi (VNC) saglayan implant.

Malware Type
RAT
Programming Language
C/C++
C2 Protocol
custom
Target Systems
Kurumsal

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — SvchostVNCInjector
# SHA256 1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4
TypeValueNote
sha256 1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4
Tags
reflective-dll-injection-cobalt-strike-stylesvchost-process-injectionvnc-remote-desktop-capturemapdll-export-reflectivesvchostinjector-x64-dllcreatetoolhelp32snapshot-process-enumcreatefilemappingw-mapviewoffileukc2a7qgRRR-mutex-marker_RDATA-suspicious-sectionpe32plus-x64-dll7-sections-packed-entropy