Manuel Statik Analiz — GootKit | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Riba_domestic_building_contract_free_download (İngiltere mimarlik sozlesmesi!) |
| Boyut | 143.744 byte (143KB) |
| String Sayisi | 3.166 |
İngiltere Hedefleme: RIBA Bina Sözleşmesi
UK Hedefleme: İngiliz mimarlık endüstrisi!
Riba_domestic_building_contract_free_download -- RIBA = Royal Institute of British Architects (İngiliz Mimarlar Kraliyet Enstitüsü) -- "domestic building contract" = yerleşim konutu yapı sözleşmesi -- "free download" = ücretsiz PDF lürü -- GootKit SEO poisoning: arama motorunda üst sıralarda görünür -- "RIBA contract PDF indir" arayan İngiliz müteahhit/mimar → GootKit dropper
Altı .SU C2 Domaini
C2 TESPIT: Sovyet Birliği (.SU) TLD domainleri!
hex.su shinezv.su hxa.su str.su mode.su value.su -- .su = Sovyet Birliği TLD (hâlâ aktif, siber suçlar için çok kullanılıyor) -- GootKit .su C2 altyapısı: 6 farklı domain = failover/yedekli yapı -- "shinezv.su" = tesadüfi görünen (DGA-benzeri) → birincil C2 -- "hex/str/value" = programlama terimi — geliştirici içten kodlama
IOC
| SHA256 | f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | RIBA UK building contract (SEO poisoning) |
| C2 Domainleri | shinezv.su, hex.su, hxa.su, mode.su, str.su, value.su |
GootKit — Malware Profile
GootKit GootLoader. RIBA UK construction seo poisoning. JS obfuscation. Stanford dead drop.
Malware Type
Backdoor
Programming Language
C++
C2 Protocol
HTTPS .su
Target Systems
Küresel/UK
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (6 indicators)
IOC — GootKit
# DOMAIN
hex.su
# DOMAIN
shinezv.su
# DOMAIN
hxa.su
# DOMAIN
str.su
# DOMAIN
mode.su
# DOMAIN
value.su
| Type | Value | Note |
|---|---|---|
| domain | hex.su | |
| domain | shinezv.su | |
| domain | hxa.su | |
| domain | str.su | |
| domain | mode.su | |
| domain | value.su |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| shinezv.su | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.