Manuel Statik Analiz — SmokeLoader | Tehdit: YUKSEK
Datei Kimliği
| SHA256 | f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dateiname | autoruns.exe (Sysinternals Autoruns taklidi!) |
| Größe | 520.136 byte (520KB) |
| String Sayisi | 5.895 |
Sysinternals Autoruns Taklidi
Sosyal Mühendislik: Konfidenzlik aracı olarak gizlendi!
autoruns.exe -- Sysinternals Autoruns = Windows startup item yöneticisi -- IT personeli ve güvenlik araştırmacıları sık kullanır -- Saldırgan hedef: güvenlik çalışanları veya IT admin -- Sahte Autoruns → SmokeLoader dropper → ek payload yükleme -- GetTickCount64 + IsDebuggerPresent: sandbox/debug tespiti
Dört C2 Substring Referansı
C2rj$ C2v]/ ?c2VIz c2+sel -- SmokeLoader şifreli C2 config'den sızan 4 substring -- C2 büyük/küçük kombinasyonu: farklı config struct field'larından -- "C2rj$" ve "C2v]/" = büyük C2 prefix → client-side struct -- "c2VIz" ve "c2+sel" = küçük c2 → server-side referans
IOC
| SHA256 | f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | autoruns.exe (Sysinternals Autoruns taklidi) |
SmokeLoader2 — Malware-Profil
SmokeLoader modular loader. autoruns.exe Sysinternals taklidi. C2rj$ c2VIz c2 substrings. GetTickCount64. 2014den beri aktif.
Malware-Typ
Loader
Programmiersprache
C
C2-Protokoll
HTTP/TCP
Zielsysteme
Küresel
Fähigkeiten & Verhalten
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC-Liste (1 Indikatoren)
IOC — SmokeLoader2
# SHA256
f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |