Derin Analiz - TiGeR-Firewall Brazilian Banking Trojan | Tehdit: YUKSEK
Dosya Kimligi
| SHA256 | 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13 |
|---|---|
| Boyut | 95,232 byte (93 KB) PE32 GUI x86 .NET |
| Entropi | 5.57 (normal) |
| Section | 2 section (cok dusuk - tek segment) |
TiGeR-Firewall Markasi
BRAZILIAN BANKING TROJAN: TiGeR-Firewall - Brezilya kokenli bankacilik Trojan ailesi imzasi!
TiGeR-Firewall <- Brezilya bankacilik trojan ailesi marker'i\nLORDDecrypt <- ozel sifreli gizleme fonksiyonu (LORD=Brezilya gruplar)\nUmbrella.flv.exe <- .flv medya dosyasi olarak gizlenmis indirilen yukleyici
Gizleme ve Kacis Teknikleri
MD5CryptoServiceProvider + FromBase64String / ToBase64String\n -> LORDDecrypt fonksiyonu ile Base64+MD5 gizleme\n\nFirewall Manipulasyonu:\n netsh firewall add allowedprogram "..." <- kendini izin verilenler listesine ekle\n netsh firewall delete allowedprogram "..." <- temizleme (iz silme)\n HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\...\n -> Registry ile Windows Firewall durumu okuma/yazma
Yetenekler
avicap32.dll <- webcam erisimi (video yakalama modulu)\nAdobe Update <- sahte guncelleme maskesi (sosyal muhendislik)\nDownloadFile / DownloadData <- ikincil yukleyici indirme\nwinmm.dll <- multimedia API (ses yakalama)\nClipboardProxy <- pano izleme (kripto adres degistirme?)\nSendMessage <- belki diger proses ile iletisim veya UI kontrol
IOC
| SHA256 | 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13 |
|---|---|
| Aile | TiGeR-Firewall (Brezilya Banking Trojan) |
| Gizleme | LORDDecrypt (Base64+MD5) |
| Dropped | Umbrella.flv.exe (sahte FLV medya) |
| Yetenekler | Webcam (avicap32), Clipboard, Firewall bypass |
TiGeRFirewall — Malware Profile
Brezilya kokenli bankacilik Trojani. TiGeR-Firewall marker ile tanimlanan, LORD grubunun LORDDecrypt sifrelemesini kullanan .NET malware. Sahte Adobe Update maskesi, Umbrella.flv.exe dropper, netsh firewall manipulasyonu, avicap32.dll ile webcam, ClipboardProxy ile pano izleme yeteneklerine sahiptir.
Malware Type
Backdoor
Programming Language
C#/.NET
C2 Protocol
custom
Target Systems
Brezilya/Latin Amerika
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — TiGeRFirewall
# SHA256
39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
| Type | Value | Note |
|---|---|---|
| sha256 | 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13 |