--- Process / Thread Injection ---\nGetThreadContext -- Thread baglam okuma (anti-debug veya injection)\nSetThreadContext -- Thread baglam yazma (kod enjeksiyonu icin)\nOpenProcess -- Uzak process acma\nAddVectoredExceptionHandler -- Istisna isleme (anti-debug)\n\n--- Kriptografi ---\nBCryptGenRandom -- CNG rastgele sayi uretimi (sifreli C2 / payload sifresi)\n@Bcrypt.dll -- CNG API dogrudan kullanimi\n\n--- Ag Baglantisi ---\nWSAID_CONNECTEX -- Overlapped IO TCP baglantisi (WinSock ConnectEx GUID)\n windowsZwinlean_712 -- Nim winim modulu cevirmesi
20 Section Analizi
20 PE section yuksek bir sayi -- olasi shellcode segment bolunmesi veya anti-analiz teknigidir.
Normal PE: 3-7 section (.text, .data, .rdata, .rsrc, .reloc...)\n11ddebd9: 20 section -- Nim runtime + GCC + winim wrapper modulleri\nHer Nim modulu ayri .text segment olusturuyor -- PE boyutunu sikilastiriyor\nSetThreadContext ile thread context manipulasyonu -- process injection hazirlik\nSupheli ImageBase -- ASLR manipulasyonu veya kucuk arac programi
Teknik Ozet
11ddebd9 malware.exe, Nim programlama dili ile yazilmis ve MinGW-W64 GCC 11.1.0 ile derlenilmis x86-64 PE+ yurutucüsüdür. 1.3 MB boyutuna ragmen entropi 6.51 oldugundan packed degil -- Nim runtime kitapliklari ve winim Windows API wrapper modullerini icerir. 20 PE section sayisi (standart 3-7 yerine) Nim'ın modüler yapisından kaynaklanmaktadir. TLS dizini (1 fonksiyon) baslangic kodu veya anti-debug kancasi iceriyor olabilir. SetThreadContext + GetThreadContext + OpenProcess uclüsü process injection veya thread context manipulation yetenegine isaret eder. BCryptGenRandom kullanimi sifreli C2 iletisimi veya payload sifrelemesini dogruluyor. WSAID_CONNECTEX (ConnectEx GUID) overlapped IO ile TCP baglantisi olusturmayi gosteriyor -- raw TCP C2 olasılığı. Cleartext C2 adresi yok (sifreli/dinamik cozumleme). Nim malware son donemde FIN7, APT29 ve crimeware gruplarinın AV atlatma amaciyla tercih ettigi bir dil haline geldi.
Nim programlama dili ile yazilmis implant/backdoor. MinGW-W64 GCC ile derlenir, winim kutuphanesi sayesinde Windows API cagrilarini yapar. SetThreadContext ile thread injection, BCryptGenRandom ile sifreli iletisim, WSAID_CONNECTEX ile overlapped TCP C2. 20 PE section yapisi ile anti-analiz. AV tespitini atlatmak icin Nim tercih edilen bir dil haline geldi.