Derin PE Analizi — Emotet Epoch | Tehdit: 심각

파일 Kimliği

SHA25622c5a786602a46b23ff82c4165daf2eb777357c49434f9997c74eae4bed52c5b
파일 이름EmotetPayload32-bitDL (kaynak tarafından etiketlenmiş)
유형PE32 executable (GUI) Intel 80386, 5 sections
크기1,244,160 byte
Entropi7.10 (packed)

Emotet: Dünya'nın En Tehlikeli Botnet'i

UYARI: Emotet; fidye yazılımı, banka trojanı ve diğer malware için teslimat platformudur. Bu payload aktif bir Emotet epoch'una ait.
Emotet (Heodo) — 2014'ten beri aktif
-- 2021 Ocak: Europol/FBI operasyonu ile altyapı çöktürüldü
-- 2021 Kasım: Emotet geri döndü (Trickbot altyapısıyla)
-- Epoch 4 ve 5: aktif kampanyalar süregelmekte
-- Teslimat: kötü amaçlı Word/Excel ekleri (MHTML/XLM makrolar) veya ZIP
-- Yük taşıma: QakBot, IcedID, Cobalt Strike, Ryuk, Conti gibi ikincil yükleri taşır
-- Botnet: C2 insfrastructure Tier-1/Tier-2 sunucular üzerinden çalışır

VirtualAllocEx + WriteProcessMemory: Proses Enjeksiyonu

VirtualAllocEx  (hedef proseste bellek ayır)
WriteProcessMemory  (kötü amaçlı kod yaz)

-- Emotet'in kullandığı teknik: Process Hollowing veya Classic Injection
  1. CreateProcess(hedef, SUSPENDED) → meşru Windows prosesi oluştur
  2. VirtualAllocEx(hedefPID, NULL, payloadSize, EXEC+READ+WRITE)
  3. WriteProcessMemory(hedefPID, allocAddr, payload, payloadSize)
  4. SetThreadContext veya CreateRemoteThread → payload başlat
  5. ResumeThread → proses devam eder, Emotet arka planda

-- Hedef prosesler: explorer.exe, svchost.exe, iexplore.exe
-- Amaç: kötü amaçlı kod meşru proses kimliğiyle çalışsın → AV atlatma

GetAsyncKeyState: Aktif Keylogger

GetAsyncKeyState  (tuş durumu sorgula)
GetDesktopWindow  (ekran penceresi)

-- GetAsyncKeyState loop ile tuş vuruşlarını yakala:
  while(true) {
    for (int i = 0; i < 256; i++) {
      if (GetAsyncKeyState(i) & 0x8001) {
        log_key(i);  // tuş kaydedildi
      }
    }
    Sleep(10);
  }

-- Hedef bilgiler:
  - E-posta şifreleri (Outlook, Thunderbird)
  - Banka giriş bilgileri
  - Şifre yöneticisi master şifreleri
  - Kripto cüzdan tohumlukları

-- GetDesktopWindow: ekran görüntüsü (bağlam verisi için)

Token Hırsızlığı + Yetki Yükseltme

AdjustTokenPrivileges   -- Token ayrıcalıklarını değiştir (SeDebugPrivilege!)
OpenProcessToken        -- Proses tokenini aç
OpenThreadToken         -- Thread tokenini aç
DuplicateTokenEx        -- Token kopyala (başka prosese enjekte et)
CheckTokenMembership    -- Admin grubunda mı? kontrol et
GetTokenInformation     -- Token detaylarını al

-- Akış:
  1. Mevcut token ayrıcalıklarını kontrol et
  2. SeDebugPrivilege etkinleştir (diğer proseslere debug erişimi)
  3. SYSTEM token'ını çal (lsass.exe gibi yüksek ayrıcalıklı prosesten)
  4. DuplicateTokenEx → kopyalanan SYSTEM token
  5. Token ile yeni proses başlat → tam sistem kontrolü

-- WSOCK32.dll (ham socket): HTTP katmanının altında TCP/IP ile C2 iletişimi
-- FPU Anti-Disassembly: disassembler'ları karıştıran floating point tuzakları

IOC

SHA25622c5a786602a46b23ff82c4165daf2eb777357c49434f9997c74eae4bed52c5b
패밀리Emotet (Heodo)
속성lerProcess injection, keylogging, HTTP C2, token theft, FPU anti-disassembly

Emotet — 악성코드 프로필

Emotet (Heodo/Mealybug/TA542) 32-bit DLL payload. Process enumeration via CreateToolhelp32Snapshot+Process32First/Next. VirtualAlloc+VirtualProtect shellcode staging. ntdll.dll direct calls. Low entropy 3.92 (stage-1 loader/encoded payload). Suspicious imagebase and DOS stub.

악성코드 유형
Loader
프로그래밍 언어
C
C2 프로토콜
HTTP
대상 시스템
Windows
다른 이름 (AKA)
Heodo

기술 세부 정보

C dili, HTTP C2 (RSA+AES sifreleme), modular yapi (email stealer, spreader, Outlook harvester), process hollowing, living off the land (regsvr32, mshta, certutil), Epoch1/2/3/4/5 botnet

귀속 / 위협 행위자

TA542 (MUMMY SPIDER) - Ukrayna kokenli oldugu dusunulen organizasyon. 2021'de Europol/FBI tarafindan coguyla tutuklandi; 2022'de geri dondu.

기능 및 동작

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC 목록 (1 개 지표)

IOC — Emotet
# SHA256 22c5a786602a46b23ff82c4165daf2eb777357c49434f9997c74eae4bed52c5b
유형메모
sha256 22c5a786602a46b23ff82c4165daf2eb777357c49434f9997c74eae4bed52c5b

C2 서버 (이 패밀리에 대해 7개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
41.216.188.11 ip 8000 HTTP active &mdash;
103.143.173.206 ip 443 HTTPS inactive ID
144.91.65.153 ip 7080 HTTP inactive DE
195.88.54.144 ip 8080 HTTP sinkholed &mdash;
103.43.46.149 ip 443 HTTPS sinkholed &mdash;
185.220.101.32 ip 80 HTTP sinkholed DE
5.135.183.154 ip 8080 HTTP sinkholed FR

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
emotetemotet-epochemotet-payloadvirtualallocex-writeprocessmemory-process-injection-hollowinggetasynckeystate-active-keyloggerinternetopenw-httpsendrequestw-http-c2-communicationadjusttokenprivileges-duplicatetokenex-openprocesstoken-token-theft-privilege-escalationfpu-anti-disassembly-analysis-resistancewsock32-raw-socket-networkgetdesktopwindow-screen-capturechecktokenmembership-gettokeninformation-token-abusepacked-entropy-7-10