Manuel Statik Analiz — Winos4.0 | Tehdit: YUKSEK

Dosya Kimliği

SHA2565129d1d27201db76647680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Dosya AdıXLLiveUpdateAgent.dll (sahte Kingsoft WPS güncelleme ajanı!)
Boyut647.680 byte (632KB)
String Sayisi5.190

XLLiveUpdateAgent.dll: Sahte WPS Güncelleme Saldırısı

DLL SAHTEKÂRLIĞI: Kingsoft WPS güncelleme kılığında!
XLLiveUpdateAgent.dll
-- "XL" = Kingsoft WPS (Çin Office suite, 500M+ kullanıcı)
-- "LiveUpdateAgent" = Otomatik güncelleme ajanı
-- ".dll" = DLL sideloading ile meşru WPS sürecine enjekte edilir
-- WPS: Çin'de Windows Office yerine yaygın kullanılır
-- DLL sideloading: meşru WPS.exe → sahte DLL yükler → Winos4.0 aktif!
-- MalwareBazaar etiket: ValleyRAT (aynı Çin APT aktörü)

httpbin.org: İnternet Bağlantı Testi

http://httpbin.org/headers
http://httpbin.org/post
-- httpbin.org = HTTP test servisi (meşru)
-- Winos4.0: kurulum sonrası internet var mı? → httpbin.org'a test isteği
-- "/headers" = gönderilen HTTP başlıklarını döndürür
-- "/post" = POST isteği yankısı
-- Neden? Proxy/firewall arkasında internet var mı tespiti

CSDN img-blog + RC2 Şifreleme

https://img-blog.csdnimg.cn/202401[...]
-- csdnimg.cn = CSDN (Çin Yazılım Geliştirici Ağı) CDN
-- img-blog: blog görselleri CDN'i
-- Winos4.0: CSDN blog görseli URL'sinde payload/config gizlenmiş!
-- "202401" = Ocak 2024 tarihli blog yazısı (kampanya başlangıcı)
CALG_RC2 -- RC2 şifreleme algoritması
-- RC2 = Rivest Cipher 2 (eski AES öncesi, 40-128 bit key)
-- SASL kimlik doğrulama ile birlikte: eski ama fonksiyonel

IOC

SHA2565129d1d27201db76647680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
DLLXLLiveUpdateAgent.dll (sahte WPS)
CDNimg-blog.csdnimg.cn (Çin CDN)

Winos4.0 — Malware Profile

Winos4.0 Çin DLL RAT. XLLiveUpdateAgent.dll sahte WPS. httpbin.org test. CSDN CDN stego. RC2 sifreleme.

Malware Type
RAT
Programming Language
C++
C2 Protocol
HTTP/RC2
Target Systems
Çin

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — Winos4.0
# SHA256 5129d1d27201db76647680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 5129d1d27201db76647680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
winos4winos40xlliveupdateagent-dll-fake-updatehttpbin-org-connection-testcsdn-imgblog-china-cdnrc2-calg-encryptionsasl-authsleepex-anti-debug