Manuel Statik Analiz — Tofsee Spambot | Tehdit: ORTA
Dosya Kimliği
| SHA256 | ec21a7eb3f763990780336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Boyut | 78.336 byte (78KB — kompakt spambot) |
| String Sayisi | 546 (düşük — obfuskasyon) |
SMTP Spam Hedefi: mail.ru
mail.ru -- Rus email hizmeti mail.ru SMTP kullanılıyor -- Tofsee kurban mail.ru hesaplarından spam gönderiyor -- mail.ru = 100M+ Rusya/BDT kullanıcısı -- Çalınan hesap kimlik bilgileri ile gönderim -- SMTP gateway olarak meşru servis kötüye kullanılıyor
NtQueryInformationToken: Token Bilgi Sorgulama
NtQueryInformationToken -- NT API seviyesinde token sorgusu (IsDebuggerPresent yerine!) -- TokenIntegrityLevel: süreç bütünlük düzeyi kontrolü -- TokenElevationType: yönetici/standart kullanıcı tespiti -- Sandbox'lar düşük bütünlük token'ı döndürür → tespit! -- GetTickCount + NtQueryInformationToken = çift anti-analiz
Geliştirici Parmak İzi: Bruno
C:\Users\Bruno\Desktop\file.exe -- Developer "Bruno" (İspanyol/Portekiz/İtalyan ismi) -- \Desktop\file.exe = basit test dosya adı -- Geliştirici masaüstünden sızmış olabilir
Tofsee Hakkında
Tofsee (Gheg) 2013'ten beri aktif Rusça spam botnet'tir. Gmail, Yahoo, Mail.ru, Yandex SMTP kullanarak spam gönderir. Kripto madenciliği, DDoS, proxy ve credential hırsızlığı modülleri vardır. P2P mimarisi ile trafik şifreleme yeteneğine sahip.
IOC
| SHA256 | ec21a7eb3f763990780336b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| SMTP Hedef | mail.ru |
| PDB | C:\Users\Bruno\Desktop\file.exe |
| Anti-Debug | NtQueryInformationToken + GetTickCount |
Tofsee — Malware Profile
Tofsee spambot. Bruno Desktop file.exe PDB. NtQueryInformationToken privilege. ESMTP mx connect. respons typo.
Malware Type
Botnet
Programming Language
C++
C2 Protocol
TCP
Target Systems
Kuresel Email
Capabilities & Behavior
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC List (1 indicators)
IOC — Tofsee
# DOMAIN
mail.ru
| Type | Value | Note |
|---|---|---|
| domain | mail.ru |