Manuel Statik Analiz — SolarMarker | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 6d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | install-x86 (2).exe (kurulum dosyası taklidi) |
| Boyut | 1.592.234 byte (1.52MB) |
| String Sayisi | 6.498 |
PowerShell Add-Type WPF: MessageBox ile Sahte VC++ Hatası
SOSYAL MÜHENDİSLİK: Sahte MSVCR120.dll hata mesajıyla kullanıcı aldatılıyor!
Add-Type -AssemblyName PresentationCore,PresentationFramework [System.Windows.MessageBox]::Show( 'The code execution cannot proceed because MSVCR120.dll was not found. Reinstalling the program may fix this problem.', 'System Error', 0, 16) -- "Add-Type -AssemblyName PresentationCore,PresentationFramework" = PowerShell ile WPF yükle -- "MessageBox::Show" = Windows mesaj kutusu göster -- MESAJ: "MSVCR120.dll was not found. Reinstalling the program may fix this problem." - "MSVCR120.dll" = Microsoft Visual C++ 2013 Runtime DLL - "Not found" = meşru bir uygulama kurulum hatası gibi görünür! - Kullanıcı: "Oh, VC++ kurmalıyım" diye düşünüp kapatıyor - Arka planda: PowerShell payload zaten çalışıyor! -- Aldatmaca: hata mesajı gösterirken asıl payload devreye giriyor
[Convert]::FromBase64String: Gizlenmiş Base64 Payload
$F=[Convert]::FromBase64String('6x6UxdaKjbxBlgBfLyuguDxbMHyH3GNCKoV3QqVkVdAK
yKSUa+E5bEqENPzlfddC9JO470L0g2TwRqhsUgF856U3XqaDMlU3SJAs2CqZ9KpDqLmKjkP1q
zrt5VwLrYRxhIg/dTFyha1xIXgQwGAC2Vdl3FpmvPfUGSRbUjyGYVLi9Ns95VJSjglSULQXY
...[devam ediyor]...')
-- "$F" = gizli payload değişkeni
-- "[Convert]::FromBase64String(...)" = .NET base64 çözme fonksiyonu
-- İçerik: büyük base64 bloğu → şifreli SolarMarker/Jupyter stage-2 payload
-- Çalışma: MessageBox kapatıldıktan sonra $F payload'ı belleğe yükleniyor
-- Bu teknik: "LOLbins" (Living off the Land Binaries) — PowerShell meşru araç
PSHostRawUserInterface + System.Management.Automation: Gömülü PowerShell
System.Management.Automation.Host PSHostRawUserInterface PSHostUserInterface ReadKey_Box -- "System.Management.Automation" = PowerShell çalışma zamanı namespace'i -- PSHostRawUserInterface/PSHostUserInterface = PowerShell konsol UI arabirimleri -- "ReadKey_Box" = klavye girişi okuma -- SolarMarker: PowerShell motorunu tamamen barındırıyor! - Standalone PowerShell gerektirmez: motor binary içinde gömülü - EDR: "powershell.exe" başlatmıyor → process tabanlı tespiti atlar
IOC
| SHA256 | 6d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Teknik | PowerShell WPF fake MSVCR120.dll error |
| Payload | [Convert]::FromBase64String (gömülü base64) |
SolarMarker — Malware Profile
SolarMarker/Jupyter infostealer. PowerShell embedded host. Fake MSVCR120.dll error. Base64 payload. PSHost automation.
Malware Type
Backdoor
Programming Language
PowerShell/.NET
C2 Protocol
HTTPS
Target Systems
Kurumsal
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — SolarMarker
# SHA256
6d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 6d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |