Manuel Statik Analiz — Babuk Ransomware | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Boyut | 2.044.928 byte (2MB) |
| String Sayisi | 5.076 |
AES-GCM Kimlik Doğrulamalı Şifreleme
additional authenticated data (AAD) cannot be input after data to be encrypted -- AES-GCM (Galois/Counter Mode) — kimlik doğrulamalı şifreleme -- AAD = "Additional Authenticated Data" (ek kimlik doğrulama) -- AES-GCM ile veriler hem şifrelenir hem imzalanır -- AAD sayesinde şifreli veri bütünlüğü doğrulanabilir -- Fidye kodu AES-GCM kullanıyor: fidye anahtar doğrulama mekanizması
Üçlü Anti-Debug
GetTickCount64 -- 64-bit zaman ölçüm GetTickCount -- 32-bit zaman ölçüm (eski sistemler) IsDebuggerPresent -- Windows API debugger tespiti -- Üçlü tespit: farklı hız/yöntemle debugger varlığını kontrol
IOC
| SHA256 | 624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Şifreleme | AES-GCM (AAD ile kimlik doğrulamalı) |
Babuk2 — Malware Profile
Babuk RaaS 2021 Rusya. AES-GCM AAD kimlik dogrulama sifreli. GetTickCount64 uclu anti-debug. Kurban kaynak kodu sizdi.
Malware Type
Ransomware
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Küresel Kurumsal
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — Babuk2
# SHA256
624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 624391da604c4f5a2044928b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |