Manuel Statik Analiz — MetaStealer | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 6c5f08e03aea51dd1570304b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | oc.exe ("oc" = open channel veya kısaltma) |
| Boyut | 1.570.304 byte (1.5MB) |
| String Sayisi | 7.655 |
GCC 6.3.0 Cygwin: Geliştirici Build Ortamı
Build Bilgisi: Cygwin/GCC ile derlendi!
../../../src/gcc-6.3.0/libgcc/config/i386/cygwin.S -- GCC 6.3.0 = 2017 GNU Compiler Collection versiyonu -- "cygwin.S" = Cygwin Windows emulation layer kaynak dosyası -- "i386" = 32-bit x86 hedef -- libgcc/config = GCC runtime library configuration -- Bu yol geliştirici makinesinin kaynak ağacından geliyor -- Cygwin + GCC 6.3.0: Windows'ta Linux benzeri geliştirme ortamı
Sandboxie + CheckRemoteDebuggerPresent
SOFTWARE\Sandboxie -- Sandboxie registry key kontrol Sandboxie detected -- Açık metin tespit mesajı! CheckRemoteDebuggerPresent -- Remote debugger (Windbg, x32dbg) kontrolü -- "Sandboxie detected" = MetaStealer Sandboxie'yi tespit edince çıkıyor -- CheckRemoteDebuggerPresent: dinamik analiz tespiti
Şifreleme Debug Çıktısı
Header parsed - headerSize: %d, blockSize: %d, keySize: %d, encryptedSize: %d ERROR: -- Format string ile headerSize, blockSize, keySize, encryptedSize debug çıktısı -- MetaStealer şifreli C2 iletişimi veya lokal veri şifreleme kullanıyor -- keySize: şifreleme anahtarı boyutu (AES-128/256?) -- encryptedSize: şifreli payload boyutu -- Geliştirici debug kodu üretimde bırakılmış!
IOC
| SHA256 | 6c5f08e03aea51dd1570304b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Build | GCC 6.3.0 Cygwin i386 |
| Anti-Debug | Sandboxie detect + CheckRemoteDebuggerPresent |
MetaStealer — Malware Profile
MetaStealer GCC 6.3.0 Cygwin build. oc.exe. Sandboxie detect CheckRemoteDebuggerPresent. AES/block sifreli C2.
Malware Type
Infostealer
Programming Language
C++ (GCC)
C2 Protocol
HTTP
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — MetaStealer
# SHA256
6c5f08e03aea51dd1570304b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 6c5f08e03aea51dd1570304b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |