Manuel Statik Analiz — SolarMarker | Tehdit: YUKSEK

Dosya Kimliği

SHA2566d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adıinstall-x86 (2).exe (kurulum dosyası taklidi)
Boyut1.592.234 byte (1.52MB)
String Sayisi6.498

PowerShell Add-Type WPF: MessageBox ile Sahte VC++ Hatası

SOSYAL MÜHENDİSLİK: Sahte MSVCR120.dll hata mesajıyla kullanıcı aldatılıyor!
Add-Type -AssemblyName PresentationCore,PresentationFramework
[System.Windows.MessageBox]::Show(
  'The code execution cannot proceed because MSVCR120.dll was not found.
   Reinstalling the program may fix this problem.',
  'System Error', 0, 16)
-- "Add-Type -AssemblyName PresentationCore,PresentationFramework" = PowerShell ile WPF yükle
-- "MessageBox::Show" = Windows mesaj kutusu göster
-- MESAJ: "MSVCR120.dll was not found. Reinstalling the program may fix this problem."
  - "MSVCR120.dll" = Microsoft Visual C++ 2013 Runtime DLL
  - "Not found" = meşru bir uygulama kurulum hatası gibi görünür!
  - Kullanıcı: "Oh, VC++ kurmalıyım" diye düşünüp kapatıyor
  - Arka planda: PowerShell payload zaten çalışıyor!
-- Aldatmaca: hata mesajı gösterirken asıl payload devreye giriyor

[Convert]::FromBase64String: Gizlenmiş Base64 Payload

$F=[Convert]::FromBase64String('6x6UxdaKjbxBlgBfLyuguDxbMHyH3GNCKoV3QqVkVdAK
yKSUa+E5bEqENPzlfddC9JO470L0g2TwRqhsUgF856U3XqaDMlU3SJAs2CqZ9KpDqLmKjkP1q
zrt5VwLrYRxhIg/dTFyha1xIXgQwGAC2Vdl3FpmvPfUGSRbUjyGYVLi9Ns95VJSjglSULQXY
...[devam ediyor]...')
-- "$F" = gizli payload değişkeni
-- "[Convert]::FromBase64String(...)" = .NET base64 çözme fonksiyonu
-- İçerik: büyük base64 bloğu → şifreli SolarMarker/Jupyter stage-2 payload
-- Çalışma: MessageBox kapatıldıktan sonra $F payload'ı belleğe yükleniyor
-- Bu teknik: "LOLbins" (Living off the Land Binaries) — PowerShell meşru araç

PSHostRawUserInterface + System.Management.Automation: Gömülü PowerShell

System.Management.Automation.Host
PSHostRawUserInterface
PSHostUserInterface
ReadKey_Box
-- "System.Management.Automation" = PowerShell çalışma zamanı namespace'i
-- PSHostRawUserInterface/PSHostUserInterface = PowerShell konsol UI arabirimleri
-- "ReadKey_Box" = klavye girişi okuma
-- SolarMarker: PowerShell motorunu tamamen barındırıyor!
  - Standalone PowerShell gerektirmez: motor binary içinde gömülü
  - EDR: "powershell.exe" başlatmıyor → process tabanlı tespiti atlar

IOC

SHA2566d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TeknikPowerShell WPF fake MSVCR120.dll error
Payload[Convert]::FromBase64String (gömülü base64)

SolarMarker — Malware Profile

SolarMarker/Jupyter infostealer. PowerShell embedded host. Fake MSVCR120.dll error. Base64 payload. PSHost automation.

Malware Type
Backdoor
Programming Language
PowerShell/.NET
C2 Protocol
HTTPS
Target Systems
Kurumsal

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — SolarMarker
# SHA256 6d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 6d254c4ff86f1aa51592234b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
solarmarkerjupyter-infostealerinstall-x86-installer-lurepowershell-addtype-presentationcore-wpffake-msvcr120-dll-not-found-errorconvert-frombase64string-embedded-payloadpshostrawuserinterfacesystem-management-automation