Derin Statik Analiz — PSStager GARDEN.ps1 | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 4a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246 |
|---|---|
| Dosya Adı | GARDEN.ps1 (1,096,950 byte — ~1 MB PowerShell) |
| Tür | PowerShell script, Unicode (UTF-16 LE) text |
locationPhysicians4230.Su: Sovyet Uzantısı C2 Domain
C2 DOMAIN: .Su TLD = Sovyet Birliği ccTLD — Doğu Avrupa tehdit aktörleri tarafından yoğun kullanılan C2 altyapısı!
locationPhysicians4230.Su -- ".Su" = ccTLD of Soviet Union (Sovyetler Birliği) — 1990'dan beri var - Bugün Rusya'dan bağımsız olarak varlığını sürdürüyor - ICANN kontrolünde değil → hızlı domain kayıt, az denetim - Rus/Doğu Avrupa siber suç grupları tarafından C2 için tercih edilen TLD -- "locationPhysicians4230": - "location" + "Physicians" = rastgele tıbbi kelime kombinasyonu - "4230" = sayısal campaign/bot ID - DGA (Domain Generation Algorithm) benzeri yapı: her kampanya farklı numara -- Tespit: .Su domain'leri ağ trafiğinde bloklayın veya izleyin
1MB Obfüskellenmiş PS1: Rastgele Değişken Adları
-- Tüm değişken adları rastgele:
$proceSyndrDisco = 'told' + 'socket' → "toldsocket" → socket API referansı
$guid_5 = [guid]::NewGuid().ToString().Substring(0,8) → rastgele GUID fragment
$connState_8 = @('Established','TimeWait','CloseWait','Listening') | Get-Random
-- Obfuskasyon tekniği: string birleştirme
'told' + 'socket' → "toldsocket" (socket API adı)
Başka örnekler: 'power' + 'shell', 'Invoke' + 'Expression'
-- 1MB script: büyük boyut = çok sayıda rastgele değişken + gömülü şifreli payload
-- Her çalıştırmada: GUID'ler farklı → eşsiz bot ID üretimi
AES Şifreli Payload: Gömülü Base64 Blokları
-- Script içinde uzun base64 blokları (AES şifreli ikinci aşama payload): 9UxXFaqu4Rc4S6NpGj/jC6mSEZno/Hj/MLGoEWMfmVfxutUwG1E16x44T6i814Iofy8mubKdzoxgOt+N 2ulYQNBlygqSgqeNj923SWhzo/vJUIAc0oASrFwrrc4iTDgBaq3eFGVvn0pEw7Z2htmI1ecuQnmAoH3a sVbhz1/7CclKSb0lc2w6hfw2dXiW7g51TCmLpzrD3T3gQCrSVUU1nEg0EPS/0ixizvgaUPRYMuAyTqnT -- Bu bloklar: AES anahtarı ve şifreli PS1 payload -- Çözme: script kendi içindeki AES implementasyonuyla çözüyor -- Çözülen payload: büyük ihtimalle reverse shell veya RAT agent
socket buffer 8192: Reverse Shell Konfigürasyonu
$bufferSize = 8192 (×26) $timeout_ms = 3000 / 5000 / 15000 $maxAttempts = 6 -- 8192 byte socket buffer: standart reverse shell buffer boyutu - PowerShell Empire, Metasploit, Covenant gibi C2 framework'leri bu boyutu kullanır -- Bağlantı timeout konfigürasyonu: 3000ms = ilk bağlantı dene 5000ms = ikinci deneme 15000ms = uzun bekleme (C2 hazır değilse) -- $maxAttempts = 6: 6 bağlantı denemesi (failover) -- locationPhysicians4230.Su'ya reverse shell bağlantısı
HKLM Run Key: Sistem Genelinde Kalıcılık
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-- System-wide Run key: tüm kullanıcılar için çalışır (USER Run key'den güçlü)
-- Yönetici ayrıcalığı gerekiyor → script UAC bypass veya admin haklarıyla çalışıyor
WinEvent dead code (anti-analiz):
if ($false) { $evtLog = Get-WinEvent -LogName 'Security' ... }
-- "if ($false)" → hiçbir zaman çalışmaz
-- Amaç: AV/sandbox "meşru PowerShell activity" sanarak atlar
-- Get-WinEvent: güvenlik olay logları → meşru sistem yönetimi izlenimi
IOC
| SHA256 | 4a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246 |
|---|---|
| C2 | locationphysicians4230.su |
PSStager — Malware Profile
PowerShell stager GARDEN.ps1. locationPhysicians4230.Su C2 Soviet ccTLD. AES encrypted base64 embedded payload. HKLM Run key persistence. socket buffer 8192 reverse shell config. WinEvent dead code anti-analysis.
Malware Type
Loader
Programming Language
PowerShell
C2 Protocol
HTTPS/TCP
Target Systems
Küresel
Capabilities & Behavior
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC List (2 indicators)
IOC — PSStager
# SHA256
4a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246
# SHA256
4a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246
| Type | Value | Note |
|---|---|---|
| sha256 | 4a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246 | |
| sha256 | 4a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246 |