Derin Analiz - Svchost VNC Injector DLL | Tehdit: KRITIK
Dosya Kimligi
| SHA256 | 1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4 |
|---|---|
| Boyut | 449,686 byte (439 KB) PE32+ x86-64 DLL, 7 section |
| Entropi | 7.34 (muhtemelen sifreli bolum) |
| Dosya adi | out.dll (kendi adi: SvchostInjector.x64.dll) |
| ImageBase | Supheli (non-standard) |
Export Analizi
KRITIK: DLL kendini SvchostInjector.x64.dll olarak tanitiyor!
Export Name: SvchostInjector.x64.dll\nExport Function:\n Ordinal: 1\n Address: 0x4e10\n Name: MapDLL <-- ana enjeksiyon fonksiyonu
Reflective Injection + VNC
ReflectiveLoader -- Cobalt Strike / Metasploit tarzı reflective DLL yukleme\nsvchost.exe -- hedef proses (Windows servis barindirici)\nVnc_MT -- VNC modulu (multi-threaded, uzak masaustu erisimi)\nukc2a7qgRRR -- mutex veya sifreli marker string\n\nImport analizi:\n CreateToolhelp32Snapshot / Process32FirstW / Process32NextW\n -> svchost.exe PID tespiti icin proses numaralama\n OpenProcess / VirtualAlloc / WaitForSingleObject\n -> uzak proses bellek ayirma + kod enjeksiyonu\n CreateFileMappingW / MapViewOfFile\n -> dosya haritalama ile DLL yukleme (reflective injection yontemi)\n IsWow64Process -- 32/64-bit uyumluluk kontrolu
Cobalt Strike Benzeri Mimari
ReflectiveLoader export'u Cobalt Strike BOF'larinin ve Metasploit meterpreter'in imzasidir!
_RDATA bolumu (supheli isim, kucuk boyut):\n Cobalt Strike harici modullerinde tipik "supheli bolum adi" teknigidir\n\nVNC Injector Akisi:\n 1. MapDLL() cagrisi ile calistiriliyor (reflective)\n 2. Process enum: svchost.exe bulunur\n 3. CreateFileMapping + MapViewOfFile ile DLL haritalama\n 4. Vnc_MT modulu svchost icinde calistirilir\n 5. Uzak saldirgan VNC ile kurban ekranina erisir
IOC
| SHA256 | 1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4 |
|---|---|
| DLL Export | SvchostInjector.x64.dll :: MapDLL (ordinal 1) |
| Teknik | Reflective DLL Injection -> svchost.exe |
| Payload | Vnc_MT (VNC multi-threaded uzak ekran erisimi) |
| Marker | ukc2a7qgRRR (mutex/sifreli ID) |
SvchostVNCInjector — Malware Profile
ReflectiveLoader export + VNC module (Vnc_MT) ile svchost.exe enjeksiyonu yapan x64 DLL. MapDLL export fonksiyonu araciligiyla calistirilir. CreateToolhelp32Snapshot ile svchost.exe bulunur, CreateFileMappingW + MapViewOfFile ile DLL bellege yuklenir. Cobalt Strike BOF mimarisini andiriyor. Uzak masaustu erisimi (VNC) saglayan implant.
Malware Type
RAT
Programming Language
C/C++
C2 Protocol
custom
Target Systems
Kurumsal
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — SvchostVNCInjector
# SHA256
1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4
| Type | Value | Note |
|---|---|---|
| sha256 | 1627864360a89600e3af3ed18127844331999de65909cd1ef8af371c10c1eec4 |