Derin PE Analizi — SMBWorm (LBB_pass.bin) | Tehdit: KRİTİK

Dosya Kimliği

SHA256183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334
Dosya AdıLBB_pass.bin ("LBB" = muhtemelen kampanya kodu, "pass" = parola hırsızı)
TürPE32 executable (GUI) Intel 80386, 3 sections
Entropi7.99 (maksimum packing — neredeyse şifrelenmiş)
String Sayısı1,169 (çok az — ağır obfuskasyon)

NetShareEnum + WNetGetConnectionW: SMB Lateral Movement

SMB YAYILMA: Ağ paylaşımlarını tarayarak yayılan solucan davranışı!
NETAPI32.dll → NetShareEnum
MPR.dll → WNetGetConnectionW

-- NetShareEnum(serverName, level, bufptr, maxlen, entriesread, totalentries, resume)
  - Hedef sunucudaki tüm paylaşımları listeler (C$, D$, ADMIN$, özel paylaşımlar)
  - Admin paylaşımları da dahil
  - Lateral movement için kullanım:
    1. Ağdaki diğer makineleri keşfet (ICMP ping ile)
    2. Her makine için NetShareEnum çalıştır
    3. Yazılabilir paylaşımları tespit et
    4. Kendini kopyala → otomatik çalıştırma mekanizması ekle

-- WNetGetConnectionW(lpLocalName, lpRemoteName, lpnLength)
  - Mevcut ağ bağlantılarını (mapped drive) tespit eder
  - C:, D: → \\server\share bağlantısını öğrenir
  - Zaten bağlı ağ sürücülerinden yayılır

-- Bu kombinasyon: NotPetya, WannaCry, EternalBlue sonrası solucanların standart tekniği

IcmpSendEcho: ICMP Ağ Tarama

IPHLPAPI.DLL → IcmpSendEcho
-- ICMP ping paketi gönder → yanıt gelirse makine aktif
-- Ağ tarama akışı:
  1. Mevcut IP adresini al → /24 subnet'i hesapla
  2. Her IP'ye IcmpSendEcho → aktif makineleri listele
  3. Aktif makinelere NetShareEnum → paylaşımları listele
  4. Yazılabilir paylaşıma kopyalan

-- Neden ICMP tercih ediliyor:
  - Hız: ping → yanıt < 1ms local ağda
  - Gizlilik: port tarama yerine ping → daha az gürültü
  - Windows dahili API: harici araç gerekmez

CryptStringToBinaryA: Çalışma Zamanında C2 Adresi Çözme

CRYPT32.dll → CryptStringToBinaryA
-- Base64 veya hex string'i binary veriye dönüştürür
-- Kullanım: hardcoded C2 adresi şifreli → çalışma zamanında çözme
  CRYPT_STRING_BASE64 = 1 → Base64'ten binary'ye
  CRYPT_STRING_HEX = 4 → Hex'ten binary'ye

-- Neden statik analiz zor:
  - C2 adresi ikili dosyada şifreli görünür
  - "C2hzY", "ZXC2=" gibi Base64 parçaları → decoded: C2 adresi
  - Strings analizi ile çözülemiyor → dinamik analiz gerekiyor
  - DLL'ler: WS2_32.dll dinamik yükleniyor → hooklama zor

CoGetObject + VirtualProtect: UAC Bypass + Shellcode

ole32.dll → CoGetObject
-- COM Moniker UAC bypass tekniği:
  CoGetObject("Elevation:Administrator!new:{guid}", ...) → UAC prompt'suz yüksek ayrıcalık
  - Windows Installer UAC bypass vektörü
  - "Elevation Moniker" tekniği

VirtualProtect(addr, size, PAGE_EXECUTE_READWRITE, &oldprot)
-- Belleği çalıştırılabilir yap → shellcode çalıştırma
-- Akış: CryptStringToBinaryA → shellcode çözüldü → VirtualProtect → çalıştır

-- TLS callback (1 fonksiyon): anti-debug başlatma
  - TLS = Thread Local Storage: main() öncesinde çalışır
  - IsDebuggerPresent / anti-debug kod → debug ortamında farklı davranır

-- .data section: zero length
  - Packing artifact: tüm data çalışma zamanında belirir
  - Unpacker stub: sıkıştırılmış payload'ı açar → bellekte çalıştırır

IOC

SHA256183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334
Entropi7.99 (max)
Lateral MovementNetShareEnum + WNetGetConnectionW + IcmpSendEcho
UAC BypassCoGetObject (COM Elevation Moniker)

SMBWorm — Malware Profile

SMB worm with lateral movement. NetShareEnum + WNetGetConnectionW for SMB share enumeration. IcmpSendEcho for network host discovery. CryptStringToBinaryA for Base64 C2 address decoding. CoGetObject COM UAC bypass. Entropy 7.99 maximum packing.

Malware Type
Botnet
Programming Language
C
C2 Protocol
TCP/SMB
Target Systems
Küresel

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (1 indicators)

IOC — SMBWorm
# SHA256 183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334
TypeValueNote
sha256 183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334
Tags
smbwormsmb-wormlbb-pass-binnetshareenum-wnetgetconnectionw-smb-share-enumeration-lateral-movementicmpsendecho-icmp-ping-host-discovery-network-scancryptstringtobinarya-base64-c2-address-runtime-decodeentropy-7-99-maximum-packing-near-encryptedcogetobject-com-uac-bypass-privilege-escalationvirtualprotect-shellcode-executionloadlibrarya-getprocaddress-dynamic-api-resolutiontls-callback-anti-debug-initializationself-modifying-data-section-zero-length-unpacker