Statik Analiz — ObfuscatedNETDropper | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5 |
|---|---|
| Boyut | 605,184 byte (PE32 .NET x86, 3 sections) |
| Framework | .NET v4.0.30319 |
| GUID | {1F4B02DF-696E-486A-8B35-F56CCA1C23C6} |
| Entropi | 7.182 (probably packed/obfuscated) |
Future Timestamp: Anti-Sandbox / Anti-Analiz
GELECEK TARİH: PE timestamp gelecek bir tarih gösteriyor — sandbox tespiti!
PE Timestamp: future time (pescan: "timestamp: future time") -- Normal PE: derleme zamanı → geçmişte bir tarih -- Bu binary: gelecekte bir timestamp -- Amaç: 1. Sandbox'lar genellikle timestamp kontrolü yapar 2. "future timestamp" → sandbox uyarısı tetikler 3. Ancak bu özelliği sahte olarak ayarlamak: analisti yanıltır 4. Bazı AV motorları timestamp anomalisini makine öğrenimi ile tespit eder 5. Malware operatörü "statik analizi bozma" amaçlı kullanıyor -- Tarih değişikliği: PE Optional Header → TimeDateStamp field manipülasyonu -- Taktik: pek çok modern .NET obfuscator bu özelliği destekler
AesCryptoServiceProvider + RSACryptoServiceProvider
AesCryptoServiceProvider -- AES simetrik şifreleme RSACryptoServiceProvider -- RSA asimetrik şifreleme -- Hibrit şifreleme modeli (dropper + payload): 1. RSA: rastgele AES anahtar şifrele (public key ile) 2. AES: payload veya C2 komutlarını şifrele 3. RSA şifreli AES key → operatör çözebilir -- Obfuskatif string listesi (aynı pattern): "V5D5djrsaThPDZj8Tau", "A1wRc4LBZ9ynMaRvHC4" "LuLZUIuxdUHc2aJ3gr", "Ehs6p1nwKvc2VUcNBI0" "PPooX7eh6TNC2EmFUP2", "snntaJPxmwMkW8lvC2e" → 20+ karakter rastgele string: şifrelenmiş config veya AES key blokları -- RSACryptoServiceProvider: .NET System.Security.Cryptography namespace
Efyfqp.exe: Karisman Yeniden Adlandırma
Efyfqp.exe -- "Efyfqp" = anlamsız, rastgele görünen karakter dizisi -- Dropped EXE isimleri genellikle: 1. Rastgele 6-8 harf → AV imza tespitini zorlaştırır 2. Her kurban için farklı üretilir (dinamik obfuske) -- Muhtemel bırakma yeri: %TEMP%\Efyfqp.exe, %APPDATA%\Efyfqp.exe, C:\Users\Public\Efyfqp.exe -- "Stub.pdb" (624391da batch'inden): Efyfqp.exe'nin Stub olduğunu gösteriyor → Dropper ana binary'yi şifreli içinde taşıyor, drop edip çalıştırıyor -- İki aşama: ObfuscatedNETDropper → Efyfqp.exe (asıl payload)
IOC
| SHA256 | 87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5 |
|---|---|
| Drop EXE | Efyfqp.exe (random-named payload) |
| Timestamp | Future time (anti-analysis PE trick) |
| Crypto | AES + RSA (.NET CryptoServiceProvider) |
| GUID | {1F4B02DF-696E-486A-8B35-F56CCA1C23C6} |
ObfuscatedNETDropper — Malware Profile
.NET 4.0 dropper with heavy obfuscation. Future timestamp anti-analysis. RSA+AES crypto (RSACryptoServiceProvider + AesCryptoServiceProvider). Drops randomly named Efyfqp.exe payload. Long random obfuscated strings. GUID {1F4B02DF-696E-486A-8B35-F56CCA1C23C6}.
Malware Type
Loader
Programming Language
C#/.NET
C2 Protocol
Unknown
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (1 indicators)
IOC — ObfuscatedNETDropper
# SHA256
87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
| Type | Value | Note |
|---|---|---|
| sha256 | 87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5 |