Derin PE Analizi — EncryptionSpyware | Tehdit: YÜKSEK
Dosya Kimliği
| SHA256 | 2cf960125358486447a378c9b410169dc93dce2d8ad75cb5aee7789536448929 |
|---|---|
| Boyut | 1,150,976 byte (PE32 x86, 5 sections) |
| Kütüphane | Gömülü OpenSSL (CRYPTOGAMS x86 implementasyonu) |
E:\Doc\My work\Encryption PDB: Geliştirici Yolu
ATTRIBUTION: Geliştirici kriptografi projesini kendi makinesinde geliştiriyor!
E:\Doc\My work (C++)\_Git\Encryption\Release\encrypt_win_api.pdb -- Sürücü: E:\ (ikincil sürücü veya harici disk) -- Klasör: "My work (C++)" = C++ projeler dizini -- Git repo: \_Git\Encryption (versiyon kontrollü) -- Proje: "encrypt_win_api" = Windows API şifreleme kütüphanesi -- Build: Release (yayın hazır) -- PDB ismi "encrypt_win_api" + WNet/screenshot fonksiyonları = spyware
api.2ip.ua/geo.json: Kurban IP Coğrafya Profili
https://api.2ip.ua/geo.json
-- 2ip.ua: Ukrayna tabanlı IP coğrafya servisi
-- Kullanım: hedefin public IP'sini ve konumunu tespit et
GET https://api.2ip.ua/geo.json
Response: {"ip":"X.X.X.X","country":"TR","city":"Istanbul",...}
-- Amaç:
1. Kurban profili: ülke, şehir, ISP → C2'ye raporla
2. Hedef seçici: Türkiye/Rusya/Avrupa → çalışmaya devam
3. Sandbox tespiti: bilinmeyen IP → sandbox olabilir → dur
-- Dead drop pattern: C2 adresi alınmadan önce kurban tespiti yapılır
-- UuidCreate + UuidToStringW: benzersiz kurban ID oluştur
→ kombinasyon: IP + UUID → kurban tam profili
BitBlt + GetDesktopWindow: Ekran Görüntüsü
GetDesktopWindow -- masaüstü penceresi BitBlt -- piksel kopyala -- Ekran yakalama döngüsü (periyodik): 1. GetDesktopWindow() → desktop HWND 2. GetDC(hwnd) → screen DC 3. CreateCompatibleBitmap(W, H) → buffer 4. BitBlt(memDC, 0,0,W,H, screenDC, SRCCOPY) → çek 5. JPEG encode → C2'ye gönder (UUID ile birlikte) -- Hedef: banka girişleri, şifreler, hassas belgeler ekranda görüntülenince yakala
WNetOpenEnumW + WNetEnumResourceW: Ağ Paylaşımı Tarama
MPR.dll → WNetOpenEnumW(RESOURCE_GLOBALNET, RESOURCETYPE_DISK, ...) MPR.dll → WNetEnumResourceW(hEnum, &count, buffer, &bufsize) MPR.dll → WNetCloseEnum(hEnum) -- Ağ kaynaklarını listele → her paylaşımı tara -- Hedef: hassas dosyalar (password.txt, credentials.xlsx, keys/) -- OpenSSL kütüphanesi: RSA + AES + SHA1 + SHA256 → topladığı verileri şifreli C2 kanalıyla gönderir
IOC
| SHA256 | 2cf960125358486447a378c9b410169dc93dce2d8ad75cb5aee7789536448929 |
|---|---|
| Dev PDB | E:\Doc\My work (C++)\_Git\Encryption\Release\encrypt_win_api.pdb |
| Geoloc URL | https://api.2ip.ua/geo.json |
EncryptionSpyware — Malware Profile
Spyware with embedded OpenSSL. Developer PDB: E:\Doc\My work (C++)\Encryption. Victim IP geolocation via api.2ip.ua/geo.json. BitBlt screenshot. WNetOpenEnumW network share enum. UuidCreate for victim HWID. RSA+AES+SHA crypto.
Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — EncryptionSpyware
# SHA256
2cf960125358486447a378c9b410169dc93dce2d8ad75cb5aee7789536448929
| Type | Value | Note |
|---|---|---|
| sha256 | 2cf960125358486447a378c9b410169dc93dce2d8ad75cb5aee7789536448929 |