Manuel Statik Analiz — Stealerium (svchost Gizleme) | Tehdit: YUKSEK
Datei Kimliği
| SHA256 | 2ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dateiname | svchost.exe (Windows Servis Host taklidi!) |
| Größe | 75.264 byte (çok küçük — ciddi packer) |
| String Sayisi | 147 (son derece obfuskasyon!) |
Geliştirici Parmak İzi
C:\Users\d4ps\source\repos\PdfFile\obj\Release\Pdf Reader.pdb -- Kullanıcı: "d4ps" (kısa takma ad/gamer tag) -- Proje: "PdfFile" (PDF okuyucu taklidi) -- Derleme: Release\Pdf Reader (kullanıcıya gösterilen isim) -- Visual Studio "source\repos" dizini = VS varsayılan
svchost.exe Gizleme
svchost.exe -- Windows Service Host adı (sistem kritik süreç) -- Task Manager'da meşru görünüyor -- Process name whitelist tabanlı güvenlik atlatma -- 75KB: svchost normalde bu kadar küçük değil ama dikkat çekmiyor
IOC
| SHA256 | 2ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| PDB | d4ps / PdfFile / Pdf Reader (geliştirici kimliği) |
| Kamuflaj | svchost.exe (Windows Servis Host taklidi) |
Stealerium — Malware-Profil
Stealerium .NET C# open source 2022 GitHub. svchost.exe gizleme. d4ps developer PdfFile.
Malware-Typ
Infostealer
Programmiersprache
C#/.NET
C2-Protokoll
HTTPS
Zielsysteme
Kuresel
Fähigkeiten & Verhalten
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC-Liste (2 Indikatoren)
IOC — Stealerium
# SHA256
2ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# FILEPATH
C:\Users\d4ps\source\repos\PdfFile\obj\Release\Pdf Reader.pdb
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 2ea5686422bd8fb675264b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | 63-char hash |
| filepath | C:\Users\d4ps\source\repos\PdfFile\obj\Release\Pdf Reader.pdb | PDB gelistirici yolu |