Manuel Statik Analiz — SmokeLoader | Tehdit: YUKSEK

Dosya Kimliği

SHA256f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adıautoruns.exe (Sysinternals Autoruns kılığı!)
Boyut520.136 byte (520KB)
String Sayisi1.142 (düşük string = obfuskasyon)

Sysinternals Autoruns Sahteciği

Yüksek Risk: Güvenilir Windows güvenlik aracı kılığına giriyor!
autoruns.exe
-- Sysinternals Autoruns = Microsoft güvenlik aracı (Mark Russinovich)
-- Güvenlik uzmanlarının kullandığı araç adını taklit ediyor
-- Güvenlik analistini kandırmak için bilinçli seçim!
-- "autoruns.exe çalışıyorsa zararsız" yanılgısı yaratır

Geliştirici Parmak İzi — Spaso

C:\Users\Spaso\source\repos\stub\Release\stub.pdb
-- "Spaso" = Sırp/Boşnak erkek ismi (Srpca: Spasoje kısaltması)
-- Visual Studio \source\repos\ = VS varsayılan proje dizini
-- "stub" = packer/loader proje adı (klasik SmokeLoader adlandırması)
-- Release build: debug bilgisi kasıtlı bırakılmış veya strip edilmemiş
-- Geliştirici makine username → OSINT linki mümkün

SmokeLoader Hakkında

SmokeLoader (Dofoil) 2011'de ortaya çıkan modüler loader'dır. İkinci aşama malware indirir (Vidar, Amadey, RedLine, Raccoon). Anti-VM ve anti-debug teknikleri güçlüdür. Rusça forum Dark0de'de $400/ay fiyata kiralanır. Process injection ile system süreçleri içinde gizlenir.

IOC

SHA256f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Kılıkautoruns.exe (Sysinternals sahteciği)
PDBC:\Users\Spaso\source\repos\stub\Release\stub.pdb

SmokeLoader2 — Malware Profile

SmokeLoader modular loader. autoruns.exe Sysinternals taklidi. C2rj$ c2VIz c2 substrings. GetTickCount64. 2014den beri aktif.

Malware Type
Loader
Programming Language
C
C2 Protocol
HTTP/TCP
Target Systems
Küresel

Capabilities & Behavior

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC List (1 indicators)

IOC — SmokeLoader2
# SHA256 f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
smokeloaderautoruns-exe-disguisesysinternals-impersonationspaso-developer-pdbvisual-studio-reposstub-pdb