Derin Statik Analiz — VBS Dropper (Çift Uzantı) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3 |
|---|---|
| Dosya Adı | INVOICE-7141.JPEG.vbs (Çift uzantı: .JPEG görünümü, .vbs gerçek tür) |
| Boyut | 459 KB (VBScript) |
INVOICE-7141.JPEG.vbs: Çift Uzantı Sosyal Mühendislik
INVOICE-7141.JPEG.vbs -- Kullanıcı görür: "INVOICE-7141.JPEG" → fatura JPEG resmi sanıyor -- Gerçek uzantı: .vbs → VBScript (tehlikeli!) -- Windows Explorer: uzantı gizleme açıkken ".vbs" gözükmez - Dosya simgesi: JPEG ikonu gösterilmesi için ayarlanabilir -- E-posta: "faturanız ekte JPEG formatında" → tıkla → WScript çalışır -- Çift uzantı tekniği: en eski ve hâlâ en etkili sosyal mühendislik
39d30cfe5d033f4342c289362d.ru: C2 Hex Subdomain
C2 DOMAIN: Hex görünümlü subdomain + .ru TLD = yüksek güvenilirlikle C2!
39d30cfe5d033f4342c289362d.ru -- Subdomain: "39d30cfe5d033f4342c289362d" (26 hex karakter) -- 26 hex karakter: olası MD5 hash kısaltması (MD5 = 32 hex) -- Kısa MD5 subdomain: her kurban/kampanya için farklı subdomain (DGA benzeri) -- .ru TLD: Rusya kayıtlı alan adı -- VBS dropper → bu domain → ikincil payload indiriyor -- "39d30cfe5d..." : orijinal hex değeri → kurban/kampanya tanımlayıcısı olabilir
StrReverse + certutil Decode: Ters Komut Obfuskasyonu
-- Komut tersine çevrilmiş halde saklanıyor: " edoced- litutrec" → StrReverse() → "certutil -decode" -- certutil: Windows dahili araç (beyaz liste bypass!) - certutil -decode: base64 veya DER formatını çözer - Living off the land: sistem aracını payload çözme için kullan -- COM nesneleri obfuskasyonu: SCripTing.fIlESysTemoBJecT → Scripting.FileSystemObject WSCRIpt.sHeLL → WScript.Shell -- Büyük/küçük harf karıştırma: COM late-binding case-insensitive
%TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe: Drop Yolu
%TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe -- "s" prefix + 39 hex karakter = hash tabanlı dosya adı -- %TEMP% klasörü: kullanıcı yazma izni var, güvenli analiz alanı değil -- Ara blob dosyası: %TEMP%\G97798c82ee8e889c30f8a7 → certutil decode → ikincil PE -- Tam zincir: 1. INVOICE-7141.JPEG.vbs çalıştır 2. certutil ile base64 çöz → s53a4a2b43e0fe695...exe oluştur 3. Payload çalıştır → C2'ye bağlan: 39d30cfe5d033f4342c289362d.ru
IOC
| SHA256 | 1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3 |
|---|---|
| C2 Domain | 39d30cfe5d033f4342c289362d.ru |
| Drop Path | %TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe |
VBSDropper — Malware Profile
VBScript dropper. INVOICE.JPEG.vbs double extension. 39d30cfe5d033f4342c289362d.ru hex subdomain C2. StrReverse certutil decode. TEMP drop path.
Malware Type
Loader
Programming Language
VBScript
C2 Protocol
HTTP
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — VBSDropper
# SHA256
1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3
| Type | Value | Note |
|---|---|---|
| sha256 | 1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3 |