Manuel Statik Analiz — NightHawk (MDSec) | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | a8de2ebf88ff7ffe761856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | iigsniqgcw.iso (DGA-benzeri rastgele ISO!) |
| Boyut | 761.856 byte (761KB) |
| String Sayisi | 3.730 |
MDSec NightHawk Nedir?
APT Aracı: Cobalt Strike'ın rakibi kurumsal penetrasyon aracı!
NightHawk = MDSec Research tarafından geliştirilen post-exploitation framework -- Cobalt Strike'a alternatif, daha az yaygın = daha az AV imzası -- Malleable C2 profil desteği -- OPSEC: EDR bypass, memory injection, disk yüzeyini minimize eder -- Genellikle APT grupları ve gelişmiş red team operasyonlarında -- Sahte lisans/leak yoluyla tehdit aktörleri elde ediyor -- Fidye yazılımı grubları (Cuba, Royal) kullandığı görüldü
DGA-Benzeri ISO Adı
iigsniqgcw.iso -- 10 karakter rastgele küçük harf: DGA (Domain Generation Algorithm) benzeri -- ISO formatı: Windows 10/11'de otomatik bağlanır (autoplay/autorun bypass) -- ISO → DLL sideloading → NightHawk beacon yükleme -- Rastgele isim: AV statik imza tespitini zorlaştırır
j9KeY!?2: Şifreleme Anahtarı Fragmenti
j9KeY!?2 -- "KeY" = anahtar referansı (kasıtlı büyük Y) -- "j9" + "!?" = özel karakter prefix -- "2" = versiyon/iterasyon numarası -- NightHawk beacon şifreleme key'inin bir parçası -- GetCommandLineA/W → komut satırı argümanından key alımı
C2 Config Substring
<c2D$ c2u?9 -- C2 config string'leri < işareti ile başlıyor -- NightHawk malleable C2 profil artifact'ları
IOC
| SHA256 | a8de2ebf88ff7ffe761856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | iigsniqgcw.iso (DGA-benzeri ISO) |
| Key Fragment | j9KeY!?2 |
Nighthawk — Malware Profile
NightHawk MDSec post-exploitation framework. Cobalt Strike alternatif. DGA ISO lure. j9KeY key fragment. APT kullanimi.
Malware Type
C2Framework
Programming Language
C
C2 Protocol
HTTPS Malleable
Target Systems
Küresel APT
Capabilities & Behavior
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOC List (1 indicators)
IOC — Nighthawk
# SHA256
a8de2ebf88ff7ffe761856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | a8de2ebf88ff7ffe761856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |