Derin Statik Analiz — PSStager GARDEN.ps1 | Tehdit: YUKSEK

Dosya Kimliği

SHA2564a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246
Dosya AdıGARDEN.ps1 (1,096,950 byte — ~1 MB PowerShell)
TürPowerShell script, Unicode (UTF-16 LE) text

locationPhysicians4230.Su: Sovyet Uzantısı C2 Domain

C2 DOMAIN: .Su TLD = Sovyet Birliği ccTLD — Doğu Avrupa tehdit aktörleri tarafından yoğun kullanılan C2 altyapısı!
locationPhysicians4230.Su
-- ".Su" = ccTLD of Soviet Union (Sovyetler Birliği) — 1990'dan beri var
  - Bugün Rusya'dan bağımsız olarak varlığını sürdürüyor
  - ICANN kontrolünde değil → hızlı domain kayıt, az denetim
  - Rus/Doğu Avrupa siber suç grupları tarafından C2 için tercih edilen TLD
-- "locationPhysicians4230":
  - "location" + "Physicians" = rastgele tıbbi kelime kombinasyonu
  - "4230" = sayısal campaign/bot ID
  - DGA (Domain Generation Algorithm) benzeri yapı: her kampanya farklı numara
-- Tespit: .Su domain'leri ağ trafiğinde bloklayın veya izleyin

1MB Obfüskellenmiş PS1: Rastgele Değişken Adları

-- Tüm değişken adları rastgele:
  $proceSyndrDisco = 'told' + 'socket'  → "toldsocket" → socket API referansı
  $guid_5 = [guid]::NewGuid().ToString().Substring(0,8)  → rastgele GUID fragment
  $connState_8 = @('Established','TimeWait','CloseWait','Listening') | Get-Random

-- Obfuskasyon tekniği: string birleştirme
  'told' + 'socket' → "toldsocket" (socket API adı)
  Başka örnekler: 'power' + 'shell', 'Invoke' + 'Expression'
-- 1MB script: büyük boyut = çok sayıda rastgele değişken + gömülü şifreli payload
-- Her çalıştırmada: GUID'ler farklı → eşsiz bot ID üretimi

AES Şifreli Payload: Gömülü Base64 Blokları

-- Script içinde uzun base64 blokları (AES şifreli ikinci aşama payload):
9UxXFaqu4Rc4S6NpGj/jC6mSEZno/Hj/MLGoEWMfmVfxutUwG1E16x44T6i814Iofy8mubKdzoxgOt+N
2ulYQNBlygqSgqeNj923SWhzo/vJUIAc0oASrFwrrc4iTDgBaq3eFGVvn0pEw7Z2htmI1ecuQnmAoH3a
sVbhz1/7CclKSb0lc2w6hfw2dXiW7g51TCmLpzrD3T3gQCrSVUU1nEg0EPS/0ixizvgaUPRYMuAyTqnT

-- Bu bloklar: AES anahtarı ve şifreli PS1 payload
-- Çözme: script kendi içindeki AES implementasyonuyla çözüyor
-- Çözülen payload: büyük ihtimalle reverse shell veya RAT agent

socket buffer 8192: Reverse Shell Konfigürasyonu

$bufferSize = 8192  (×26)
$timeout_ms = 3000 / 5000 / 15000
$maxAttempts = 6

-- 8192 byte socket buffer: standart reverse shell buffer boyutu
  - PowerShell Empire, Metasploit, Covenant gibi C2 framework'leri bu boyutu kullanır
-- Bağlantı timeout konfigürasyonu:
  3000ms = ilk bağlantı dene
  5000ms = ikinci deneme
  15000ms = uzun bekleme (C2 hazır değilse)
-- $maxAttempts = 6: 6 bağlantı denemesi (failover)
-- locationPhysicians4230.Su'ya reverse shell bağlantısı

HKLM Run Key: Sistem Genelinde Kalıcılık

HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-- System-wide Run key: tüm kullanıcılar için çalışır (USER Run key'den güçlü)
-- Yönetici ayrıcalığı gerekiyor → script UAC bypass veya admin haklarıyla çalışıyor

WinEvent dead code (anti-analiz):
if ($false) { $evtLog = Get-WinEvent -LogName 'Security' ... }
-- "if ($false)" → hiçbir zaman çalışmaz
-- Amaç: AV/sandbox "meşru PowerShell activity" sanarak atlar
-- Get-WinEvent: güvenlik olay logları → meşru sistem yönetimi izlenimi

IOC

SHA2564a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246
C2locationphysicians4230.su

PSStager — Malware Profile

PowerShell stager GARDEN.ps1. locationPhysicians4230.Su C2 Soviet ccTLD. AES encrypted base64 embedded payload. HKLM Run key persistence. socket buffer 8192 reverse shell config. WinEvent dead code anti-analysis.

Malware Type
Loader
Programming Language
PowerShell
C2 Protocol
HTTPS/TCP
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (2 indicators)

IOC — PSStager
# SHA256 4a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246 # SHA256 4a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246
TypeValueNote
sha256 4a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246
sha256 4a63b0a172980dff98b4b1bd8eb19f1adddeb19200275175d72ec3817d15e246
Tags
psstagerpowershell-stagergarden-ps1-powershell-stagerlocationphysicians4230-su-soviet-union-tld-c2su-tld-eastern-european-c2-infrastructureaes-encrypted-base64-blob-embedded-payloadhklm-run-key-persistence-system-widesocket-buffer-8192-16384-reverse-shell-configbuffersize-timeout-ms-connection-retry-logicwinevent-dead-code-anti-analysis-decoyproceSyndrDisco-socket-obfuscated-string-construction1mb-obfuscated-powershell-randomized-variable-names