Derin PE Analizi — Black Basta Dropper | Tehdit: YUKSEK

파일 Kimliği

SHA25665ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3
파일 이름black-basta_elex.exe (açıkça aile adı içeriyor!)
크기488 KB, PE32 Intel 80386
Section Sayısı4

black-basta_elex.exe: Açıkça 패밀리 Adı Taşıyan 파일

black-basta_elex.exe
-- Dosya adı içinde "black-basta" = fidye yazılımı adı açıkça yazılı!
-- "_elex" suffix = "elex" bileşeni veya varyant etiketi
-- Operasyonel OPSEC hatası: gerçek saldırı araçları böyle adlandırılmaz
-- Bu genellikle: saldırgan test ortamında veya araç setinde bu isimle kaydedilmiş
-- MalwareBazaar'a analiz ortamından veya araştırmacı tarafından yüklendi
-- Black Basta: 2022'de Conti'nin dağılmasından sonra ortaya çıkan fidye grubu

d:\dbs\el\dec\target\x64\ship\delivery\x-none\ose.pdb: MS Office Source Engine Maskesi

MS OFİS TAKLİDİ: PDB yolu meşru Microsoft bileşenini kopyalıyor!
d:\dbs\el\dec\target\x64\ship\delivery\x-none\ose.pdb
-- "ose.pdb" = Office Source Engine Program Database
  - OSE = Microsoft Office kurulum/güncelleme bileşeni
  - Meşru dosya: C:\Program Files\Common Files\Microsoft Shared\Source Engine\ose.exe
-- Build yolu taklidi:
  - "d:\dbs\el\dec" = "databases/el/dec" (Microsoft'un iç build sistemi yapısı)
  - "\target\x64\ship\delivery\x-none\" = Microsoft Office dağıtım dizin yapısı
-- Amaç: AV ve EDR araçları "ose.pdb" referansını güvenilir Microsoft kaynağı sanır
-- Digital imza olmadan: sadece PDB yolu Microsoft'tan gelmiş görünümü veriyor

WinHTTP HTTPS C2 Altyapısı

WinHttpConnect          -- HTTPS sunucusuna bağlan
WinHttpOpenRequest      -- HTTP istek oluştur (GET/POST)
WinHttpSendRequest      -- isteği gönder (payload/C2 komut)
-- Windows HTTP Servisleri: WinInet'e alternatif, daha az monitör edilen
-- HTTPS C2: şifreli kanal (firewall/IDS göremez)
-- Black Basta C2 protokolü: WinHTTP üzerinden JSON komut alış-verişi

Hak Yükseltme + Token Manipülasyonu

AdjustTokenPrivileges   -- token ayrıcalıklarını artır (SeDebugPrivilege, SeTakeOwnershipPrivilege)
OpenProcessToken        -- proses token'ına eriş
SetThreadToken          -- iş parçacığına token ata (impersonation)
DuplicateToken          -- token kopyala (domain hesabı taklit)
CheckTokenMembership    -- yönetici grubu üyesi mi?
-- UAC bypass sonrası: SeDebugPrivilege aktif → tüm proseslere erişim
-- DuplicateToken: domain kullanıcısı kimliğiyle ağ hareketleri

IOC

SHA25665ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3
파일 이름black-basta_elex.exe

BlackBasta — 악성코드 프로필

Black Basta ransomware grubu loaer/dropper. Microsoft Office Setup Engine (ose.pdb) olarak gizlenir. Global\OfficeSourceEngine64Mutex sahte mutex. Self-modifying .ex_cod section. Minimal import + runtime GetProcAddress API cozme. WinHttp C2. Token manipulasyonu.

악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
대상 시스템
Windows/Linux

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — BlackBasta
# SHA256 65ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3
유형메모
sha256 65ca7ba84aab380f567de480f63624c3443c26b0df33d8b4869132c6640bcec3

C2 서버 (이 패밀리에 대해 1개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion domain 443 — inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
blackbastablack-bastablackbasta2black-basta-elex-exe-explicit-family-filenameose-pdb-microsoft-office-source-engine-masqueradewinhttpconnect-winhttpsendrequest-winhttp-https-c2adjusttokenprivileges-privilege-escalationsetthreadtoken-duplicatetoken-impersonationcreatemutexa-anti-reinfectioncryptcreatehashe-cryptacquirecontext-windows-crypto