Manuel Statik Analiz — Cobalt Strike Beacon | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Boyut | 775.168 byte (775KB) |
| String Sayisi | 3.679 |
Malleable C2 Profile Parser Hataları
Cobalt Strike Malleable Profile: Config parser artifact'ları!
@unsupported method: -- desteklenmeyen yöntem hatası @config -- config parser keyword @key not found: -- config anahtarı bulunamadı @string literal as key -- string literal'ı key olarak kullanma hatası -- Cobalt Strike Malleable C2 profile YAML/TOML benzeri syntax! -- Bu hata mesajları profil okuyucunun iç error handler'larından -- Profile syntax: "http-get", "http-post", "stage", "post-ex" vb. -- "@key not found" → beacon config key eksikliği → fallback'e düşüyor -- "@unsupported method" → CS3'te kaldırılan eski CS2 profil direktifi
Çift IsDebuggerPresent
IsDebuggerPresent IsDebuggerPresent -- Aynı string iki kez! İki farklı kod yolunda debug kontrol: 1. Başlangıç kontrolü: yürütmeden önce 2. Payload inject öncesi: inject sırasında -- Cobalt Strike beacon: farklı aşamalarda birden fazla debug kontrol
IOC
| SHA256 | ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|
CobaltStrike3 — Malware Profile
Cobalt Strike beacon @config YAML parser. Cift IsDebuggerPresent. Malleable C2 profile. Her APT grup kullanir.
Malware Type
C2Framework
Programming Language
C/C++
C2 Protocol
HTTP/DNS
Target Systems
Kurumsal
Capabilities & Behavior
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOC List (1 indicators)
IOC — CobaltStrike3
# SHA256
ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | ef901fac3c9bdf1f775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |