Statik Analiz — DiscordCDNDropper (.NET) | Tehdit: YÜKSEK
Dosya Kimliği
| SHA256 | 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229 |
|---|---|
| Boyut | 66,560 byte (ZIP 30KB → .NET PE32) |
| Framework | .NET v4.0.30319 |
cdn.discordapp.com/attachments: Dead Drop Payload
DISCORD CDN: Discord dosya paylaşım CDN'i ikinci aşama payload dağıtımı için kullanılıyor!
https://cdn.discordapp.com/attachments/1160855778916319336/1196248399096328242/Jvvlpovxdup.dat?ex=65b6f023&is=65a47b23&hm=... -- Tam URL analizi: Domain: cdn.discordapp.com (Discord içerik dağıtım ağı) Kanal ID: 1160855778916319336 (discord kanal) Mesaj ID: 1196248399096328242 (discord mesajı) Dosya: Jvvlpovxdup.dat (obfuskeli isim — .dat uzantısı AV atlatma) ?ex= : URL imzası (geçici erişim token) -- Discord CDN neden tercih ediliyor: 1. HTTPS: trafik şifreli → AV/firewall göremez içerik 2. Meşru domain: cdn.discordapp.com → whitelist'te 3. Ücretsiz: hesap açılır, dosya yüklenir, silinene kadar kalır 4. Hızlı kurulum: C2 sunucusu gerekmez 5. Tespit zorluğu: CDN trafiği normal internet kullanımı gibi -- "Jvvlpovxdup.dat": obfuskeli payload ismi - .dat uzantısı: .exe veya .dll değil → AV daha az şüphelenir - Muhtemelen şifreli/packed ikinci aşama
injectlast + token + _Token: Enjeksiyon Zinciri
injectlast token _Token RepositoryTokenFilter LoginPredicate CreateDelegate -- "injectlast": enjeksiyon sırasını belirten metod/değişken → enjeksiyon en son adım olarak gerçekleşiyor -- "_Token" + "token": Discord bot token veya auth token → payload indirimek için Discord API auth gerekebilir -- RepositoryTokenFilter: token'ları filtrele/yönet -- LoginPredicate: giriş koşulunu değerlendir -- CreateDelegate: .NET reflection tabanlı dinamik metod çağrısı → AV hook'larını atlatmak için reflection kullanılıyor -- Muhtemel akış: 1. DiscordCDNDropper başlar 2. Discord CDN'den Jvvlpovxdup.dat indir 3. Token ile kimlik doğrula (RepositoryTokenFilter) 4. CreateDelegate → dinamik metod çağrısı (reflection) 5. injectlast → yüklenen payload'ı enjekte et
IOC
| SHA256 | 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229 |
|---|---|
| Dead Drop URL | https://cdn.discordapp.com/attachments/1160855778916319336/1196248399096328242/Jvvlpovxdup.dat |
| Discord Kanal | 1160855778916319336 |
DiscordCDNDropper — Malware Profile
Discord CDN uzerinden payload indiren .NET dropper. Payload Discord attachment olarak depolanir (.dat uzantisiyla gizlenir). CDN URL imzali (gecici erisim). RepositoryTokenFilter, injectlast stringleri.
Malware Type
Loader
Programming Language
C#/.NET
C2 Protocol
HTTPS/Discord CDN
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — DiscordCDNDropper
# SHA256
41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
| Type | Value | Note |
|---|---|---|
| sha256 | 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229 |