Manuel Statik Analiz — DonutLoader | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 0554e81334b4df581097689b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | Kernel Sideloader v5.bat |
| Boyut | 1.097.689 byte (1MB BAT script) |
| String Sayisi | 274 (yoğun obfuskasyon) |
Kernel Sideloader v5: BAT Tabanlı Kernel Yükleyici
Kernel Sideloader v5.bat -- "Kernel" = kernel-mode erişim hedefleniyor -- "Sideloader" = DLL sideloading tekniği -- "v5" = beşinci versiyon (önceki: v1-v4 aktif kampanya) -- BAT script → kernel sürücü yükleme → privilege escalation -- 1MB BAT: çoğu obfuskated base64 yük -- Sadece 274 string: geri kalan veri binary encoded
Rastgele Kelime + Satoshi Değişken İsimleri
Obfuskasyon Tekniği: Anlamlı İngilizce kelimeler değişken adı olarak!
BlanketDaughter = vTO8Im86MPGxGUCdPMqv2PaYxBXeedpd7f1ojVS5vbYDvwQQwjrMXb1BwAc8P56n... photoSatoshi = Gjfs1f21fEBS3SKbE5fUbJoERrpVsx2XZCjQxl7zTfOBqqQ6bG/P/sDM5y4gyArJy... -- "BlanketDaughter" = gerçek anlamsız İngilizce kelime kombinasyonu -- "photoSatoshi" = "photo" + "Satoshi" (Nakamoto = Bitcoin yaratıcısı) → Bitcoin referansı: kripto para ödemesi veya mining amacı? -- Değerler: base64 encoded → PowerShell/BAT ile decode → shellcode -- AV imzaları: anlamlı değişken ismi → byte pattern yok → tespiti zorlaştırıyor
IOC
| SHA256 | 0554e81334b4df581097689b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Kernel Sideloader v5.bat |
| Obfuskasyon | BlanketDaughter, photoSatoshi base64 encoded variables |
DonutLoader — Malware Profile
DonutLoader BAT tabanlı kernel sideloading. Kernel Sideloader v5.bat. BlanketDaughter photoSatoshi base64 variables. AV bypass.
Malware Type
Loader
Programming Language
BAT/PowerShell
C2 Protocol
HTTP
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — DonutLoader
# SHA256
0554e81334b4df581097689b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 0554e81334b4df581097689b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |