Manuel Statik Analiz (LLM Okumali) — BlackMatter / Yanlis Etiketli LockBit | Tehdit: YUKSEK
파일 Kimligi
| SHA256 | cd6d48dbb8a4124df11e72d4a975bfacafc55059dd258db5a0f92700cbca1c3b |
|---|---|
| Format | Windows DLL (PE32) |
| 크기 | 104.448 byte |
| String Sayisi | 579 |
Etiketleme Sorunu
Onemli: Bu ornek MalwareBazaar veritabaninda
lockbit etiketi ile sunulmaktadir. Ancak statik string analizi LockBit ailesine ozgu string imzalarini ortaya cikarmamistir. 파일nin BlackMatter ransomware ailesine ait oldugu degerlendiriliyor. MalwareBazaar'daki yanlıs etiketleme, topluluk kaynakli IOC atamalarında zaman zaman gorulen bir sorundur.
Analiz Bulgulari
- DLL formatinda — dogrudan calistirilmayan, bir loader tarafindan bellek icine yuklenen modul
- 579 string — dusuk string sayisi; packer veya sadece sifreleme modulu oldugu izlenimi
- Cleartext ransom notu, URL veya email IOC bulunamadi — sifrelenmis veya ayri modulde
- LockBit'e ozgu "LockBit", sertifika bilgisi veya ransom notu paterni tespit edilmedi
BlackMatter Hakkinda
BlackMatter, 2021 yilinda DarkSide ve REvil (Sodinokibi) gruplarinin dagilmasinin ardindan faaliyete gecen RaaS (Ransomware-as-a-Service) ailesidir. Hem Windows hem de Linux VMware ESXi encryptor bilesenlerine sahiptir. ABD kritik altyapisina saldirmasinin ardindan (Colonial Pipeline benzeri hedeflerden kaciniyor demeleri karisik) 2021 sonunda kapanmistir. BlackBasta, BlackMatter'in devami niteligi tasimaktadir.
IOC
| SHA256 | cd6d48dbb8a4124df11e72d4a975bfacafc55059dd258db5a0f92700cbca1c3b |
|---|---|
| Format | Windows DLL |
| Gercek 패밀리 | BlackMatter (MB etiketi: LockBit — Yanlis) |
BlackMatter — 악성코드 프로필
BlackMatter RaaS 2021. DarkSide devami. Cobalt Strike+run-as-admin. ABD kritik altyapi.
악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
—
대상 시스템
Windows/Linux
기능 및 동작
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC 목록 (1 개 지표)
IOC — BlackMatter
# SHA256
cd6d48dbb8a4124df11e72d4a975bfacafc55059dd258db5a0f92700cbca1c3b
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | cd6d48dbb8a4124df11e72d4a975bfacafc55059dd258db5a0f92700cbca1c3b |
C2 서버 (이 패밀리에 대해 6개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| mojobiden.com | domain | — | — | active | — |
| mojobiden.com | domain | 443 | HTTPS | active | — |
| mojobiden.com | domain | 443 | HTTPS | active | — |
| paymenthacks.com | domain | 443 | HTTPS | inactive | — |
| supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion | domain | 80 | HTTPS | inactive | — |
| paymenthacks.com | domain | 443 | HTTPS | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.