Manuel Statik Analiz — Winos4.0 | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 5129d1d27201db76647680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dosya Adı | XLLiveUpdateAgent.dll (sahte Kingsoft WPS güncelleme ajanı!) |
| Boyut | 647.680 byte (632KB) |
| String Sayisi | 5.190 |
XLLiveUpdateAgent.dll: Sahte WPS Güncelleme Saldırısı
DLL SAHTEKÂRLIĞI: Kingsoft WPS güncelleme kılığında!
XLLiveUpdateAgent.dll -- "XL" = Kingsoft WPS (Çin Office suite, 500M+ kullanıcı) -- "LiveUpdateAgent" = Otomatik güncelleme ajanı -- ".dll" = DLL sideloading ile meşru WPS sürecine enjekte edilir -- WPS: Çin'de Windows Office yerine yaygın kullanılır -- DLL sideloading: meşru WPS.exe → sahte DLL yükler → Winos4.0 aktif! -- MalwareBazaar etiket: ValleyRAT (aynı Çin APT aktörü)
httpbin.org: İnternet Bağlantı Testi
http://httpbin.org/headers http://httpbin.org/post -- httpbin.org = HTTP test servisi (meşru) -- Winos4.0: kurulum sonrası internet var mı? → httpbin.org'a test isteği -- "/headers" = gönderilen HTTP başlıklarını döndürür -- "/post" = POST isteği yankısı -- Neden? Proxy/firewall arkasında internet var mı tespiti
CSDN img-blog + RC2 Şifreleme
https://img-blog.csdnimg.cn/202401[...] -- csdnimg.cn = CSDN (Çin Yazılım Geliştirici Ağı) CDN -- img-blog: blog görselleri CDN'i -- Winos4.0: CSDN blog görseli URL'sinde payload/config gizlenmiş! -- "202401" = Ocak 2024 tarihli blog yazısı (kampanya başlangıcı) CALG_RC2 -- RC2 şifreleme algoritması -- RC2 = Rivest Cipher 2 (eski AES öncesi, 40-128 bit key) -- SASL kimlik doğrulama ile birlikte: eski ama fonksiyonel
IOC
| SHA256 | 5129d1d27201db76647680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| DLL | XLLiveUpdateAgent.dll (sahte WPS) |
| CDN | img-blog.csdnimg.cn (Çin CDN) |
Winos4.0 — Malware Profile
Winos4.0 Çin DLL RAT. XLLiveUpdateAgent.dll sahte WPS. httpbin.org test. CSDN CDN stego. RC2 sifreleme.
Malware Type
RAT
Programming Language
C++
C2 Protocol
HTTP/RC2
Target Systems
Çin
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — Winos4.0
# SHA256
5129d1d27201db76647680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | 5129d1d27201db76647680b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |