Manuel Statik Analiz — Matanbuchus Loader | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 77a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Boyut | 1.229.312 byte (1.2MB, DLL) |
| String Sayisi | 4.295 |
Session key sent: Özel Kripto El Sıkışma
C2 PROTOKOL: Oturum anahtarı iletimi!
Session key sent b[...] -- "Session key sent" = oturum anahtarı gönderildi (log mesajı) -- Matanbuchus özel C2 protokolü: -- 1) Bağlan C2'ye -- 2) Oturum anahtarı üret (session key) -- 3) C2'ye gönder → şifreli kanal kuruldu -- 4) Log: "Session key sent" → bağlantı onaylandı -- Özel TLS yerine kendi kripto protokolü: NSS kütüphanesi
no malloc support: C Runtime Mesajı
no malloc support -- "malloc" = C standart kütüphane bellek tahsisi -- "no malloc support" = malloc desteklenmiyor hatası -- Windows DLL'de garip: Matanbuchus POSIX-uyumlu kütüphane gömüyor -- Veya: custom allocator ile malloc'u devre dışı bırakmış -- Bellek yönetimi: heap tracking'i engellemek için
IOC
| SHA256 | 77a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Protokol | Özel kripto el sıkışma (Session key) |
Matanbuchus — Malware Profile
Matanbuchus loader. Session key özel kripto el sikisma. no malloc support C runtime. CreateMutexW.
Malware Type
Loader
Programming Language
C++
C2 Protocol
HTTPS
Target Systems
Windows
Technical Details
Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — Matanbuchus
# SHA256
77a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 77a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |