Manuel Statik Analiz — Carbanak (FIN7) | Tehdit: 심각
파일 Kimliği
| SHA256 | 1627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7 |
|---|---|
| 파일 이름 | out.dll (geliştirici çıktı dosyası!) |
| 크기 | 449.686 byte (439KB) |
| String Sayisi | 2.477 |
SvchostInjector.x64.dll: Gömülü Svchost Enjektör
ENJEKSİYON İMZASI: svchost.exe enjektör DLL adı açıkça görünüyor!
SvchostInjector.x64.dll -- "SvchostInjector" = svchost.exe enjeksiyonu yapan DLL -- ".x64" = 64-bit bileşen -- Carbanak: svchost.exe içine inject olur → güvenlik yazılımına meşru görünür -- svchost.exe = Windows çekirdek servis barındırıcısı -- Bu DLL adı: Carbanak binary içinde gömülü → araç seti ipucu -- Benzer: IcedID'nin named pipe yöntemi vs Carbanak'ın DLL enjeksiyonu
out.dll: Geliştirici Artifact
out.dll -- "out" = build çıktı dosyasının geliştirici tarafından yeniden adlandırılmaması -- Tipik: gcc -o out.dll veya derleme çıktısı default ismi -- BazarBackdoor "DragTest.dll" ile aynı pattern: geliştirici ismi temizlemeden dağıttı -- FIN7: profesyonel APT grubu olmasına rağmen bu artifact atlandı
IOC
| SHA256 | 1627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7 |
|---|---|
| İnjektör | SvchostInjector.x64.dll |
Carbanak — 악성코드 프로필
Carbanak (FIN7/Anunak) finansal APT. 1 milyar dolar soygun. ATM cashout, SWIFT fraud. Rusya kaynaklı.
악성코드 유형
Other
프로그래밍 언어
C++
C2 프로토콜
HTTP
대상 시스템
Windows
다른 이름 (AKA)
FIN7
기능 및 동작
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC 목록 (1 개 지표)
IOC — Carbanak
# SHA256
1627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 1627864360a896001ef8af371c10c1eec4b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7 |