Derin PE Analizi — Emotet Epoch | Tehdit: KRİTİK

Dosya Kimliği

SHA25622c5a786602a46b23ff82c4165daf2eb777357c49434f9997c74eae4bed52c5b
Dosya AdıEmotetPayload32-bitDL (kaynak tarafından etiketlenmiş)
TürPE32 executable (GUI) Intel 80386, 5 sections
Boyut1,244,160 byte
Entropi7.10 (packed)

Emotet: Dünya'nın En Tehlikeli Botnet'i

UYARI: Emotet; fidye yazılımı, banka trojanı ve diğer malware için teslimat platformudur. Bu payload aktif bir Emotet epoch'una ait.
Emotet (Heodo) — 2014'ten beri aktif
-- 2021 Ocak: Europol/FBI operasyonu ile altyapı çöktürüldü
-- 2021 Kasım: Emotet geri döndü (Trickbot altyapısıyla)
-- Epoch 4 ve 5: aktif kampanyalar süregelmekte
-- Teslimat: kötü amaçlı Word/Excel ekleri (MHTML/XLM makrolar) veya ZIP
-- Yük taşıma: QakBot, IcedID, Cobalt Strike, Ryuk, Conti gibi ikincil yükleri taşır
-- Botnet: C2 insfrastructure Tier-1/Tier-2 sunucular üzerinden çalışır

VirtualAllocEx + WriteProcessMemory: Proses Enjeksiyonu

VirtualAllocEx  (hedef proseste bellek ayır)
WriteProcessMemory  (kötü amaçlı kod yaz)

-- Emotet'in kullandığı teknik: Process Hollowing veya Classic Injection
  1. CreateProcess(hedef, SUSPENDED) → meşru Windows prosesi oluştur
  2. VirtualAllocEx(hedefPID, NULL, payloadSize, EXEC+READ+WRITE)
  3. WriteProcessMemory(hedefPID, allocAddr, payload, payloadSize)
  4. SetThreadContext veya CreateRemoteThread → payload başlat
  5. ResumeThread → proses devam eder, Emotet arka planda

-- Hedef prosesler: explorer.exe, svchost.exe, iexplore.exe
-- Amaç: kötü amaçlı kod meşru proses kimliğiyle çalışsın → AV atlatma

GetAsyncKeyState: Aktif Keylogger

GetAsyncKeyState  (tuş durumu sorgula)
GetDesktopWindow  (ekran penceresi)

-- GetAsyncKeyState loop ile tuş vuruşlarını yakala:
  while(true) {
    for (int i = 0; i < 256; i++) {
      if (GetAsyncKeyState(i) & 0x8001) {
        log_key(i);  // tuş kaydedildi
      }
    }
    Sleep(10);
  }

-- Hedef bilgiler:
  - E-posta şifreleri (Outlook, Thunderbird)
  - Banka giriş bilgileri
  - Şifre yöneticisi master şifreleri
  - Kripto cüzdan tohumlukları

-- GetDesktopWindow: ekran görüntüsü (bağlam verisi için)

Token Hırsızlığı + Yetki Yükseltme

AdjustTokenPrivileges   -- Token ayrıcalıklarını değiştir (SeDebugPrivilege!)
OpenProcessToken        -- Proses tokenini aç
OpenThreadToken         -- Thread tokenini aç
DuplicateTokenEx        -- Token kopyala (başka prosese enjekte et)
CheckTokenMembership    -- Admin grubunda mı? kontrol et
GetTokenInformation     -- Token detaylarını al

-- Akış:
  1. Mevcut token ayrıcalıklarını kontrol et
  2. SeDebugPrivilege etkinleştir (diğer proseslere debug erişimi)
  3. SYSTEM token'ını çal (lsass.exe gibi yüksek ayrıcalıklı prosesten)
  4. DuplicateTokenEx → kopyalanan SYSTEM token
  5. Token ile yeni proses başlat → tam sistem kontrolü

-- WSOCK32.dll (ham socket): HTTP katmanının altında TCP/IP ile C2 iletişimi
-- FPU Anti-Disassembly: disassembler'ları karıştıran floating point tuzakları

IOC

SHA25622c5a786602a46b23ff82c4165daf2eb777357c49434f9997c74eae4bed52c5b
AileEmotet (Heodo)
ÖzelliklerProcess injection, keylogging, HTTP C2, token theft, FPU anti-disassembly

Emotet — Malware Profile

Emotet (Heodo/Mealybug/TA542) 32-bit DLL payload. Process enumeration via CreateToolhelp32Snapshot+Process32First/Next. VirtualAlloc+VirtualProtect shellcode staging. ntdll.dll direct calls. Low entropy 3.92 (stage-1 loader/encoded payload). Suspicious imagebase and DOS stub.

Malware Type
Loader
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows
Also Known As (AKA)
Heodo

Technical Details

C dili, HTTP C2 (RSA+AES sifreleme), modular yapi (email stealer, spreader, Outlook harvester), process hollowing, living off the land (regsvr32, mshta, certutil), Epoch1/2/3/4/5 botnet

Attribution / Threat Actor

TA542 (MUMMY SPIDER) - Ukrayna kokenli oldugu dusunulen organizasyon. 2021'de Europol/FBI tarafindan coguyla tutuklandi; 2022'de geri dondu.

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — Emotet
# SHA256 22c5a786602a46b23ff82c4165daf2eb777357c49434f9997c74eae4bed52c5b
TypeValueNote
sha256 22c5a786602a46b23ff82c4165daf2eb777357c49434f9997c74eae4bed52c5b

C2 Servers (7 recorded servers for this family)

Address Type Port Protocol Status Country
41.216.188.11 ip 8000 HTTP active &mdash;
103.143.173.206 ip 443 HTTPS inactive ID
144.91.65.153 ip 7080 HTTP inactive DE
195.88.54.144 ip 8080 HTTP sinkholed &mdash;
103.43.46.149 ip 443 HTTPS sinkholed &mdash;
185.220.101.32 ip 80 HTTP sinkholed DE
5.135.183.154 ip 8080 HTTP sinkholed FR

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
emotetemotet-epochemotet-payloadvirtualallocex-writeprocessmemory-process-injection-hollowinggetasynckeystate-active-keyloggerinternetopenw-httpsendrequestw-http-c2-communicationadjusttokenprivileges-duplicatetokenex-openprocesstoken-token-theft-privilege-escalationfpu-anti-disassembly-analysis-resistancewsock32-raw-socket-networkgetdesktopwindow-screen-capturechecktokenmembership-gettokeninformation-token-abusepacked-entropy-7-10