Manuel Statik Analiz — HiddenTear Ransomware | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | f8d907099731ba44937984b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| 파일 이름 | FlatWare.exe ("FlatChestWare" projesinin gizlenmiş adı) |
| 크기 | 937.984 byte (916KB) |
| String Sayisi | 4.999 |
endyou.xn--6frz82g: Japonca Punycode C2!
C2 TESPİT: Uluslararası Punycode alan adı C2!
http://www.endyou.xn--6frz82g/listen/listen.php -- "xn--6frz82g" = Punycode kodlu Japonca TLD -- xn--6frz82g = 旅 (Japonca: "yolculuk/seyahat") -- "endyou" = "seni bitir" (İngilizce: end + you) -- "endyou.[旅]" = Japonca TLD'li İngilizce isim -- "/listen/listen.php" = C2 endpoint (dinle) -- Punycode gizleme: ASCII görünümlü ama gerçek karakter farklı
Geliştirici PDB: "Loli" Kullanıcısı
GELİŞTİRİCİ KİMLİĞİ:
C:\Users\Loli\Documents\Visual Studio 2015\Projects\FlatChestWare\obj\Release -- Kullanıcı adı: "Loli" -- VS 2015 ile geliştirilmiş -- Proje adı: "FlatChestWare" (FlatWare.exe olarak dağıtılmış) -- HiddenTear: GitHub'da yayınlanan açık kaynak ransomware (2015) -- "FlatChestWare" = HiddenTear türevi, kendi versiyonu
AES Şifreleme Zinciri
encryptAES -- AES ile dosya şifrele bytesToBeEncrypted -- şifrelenecek byte dizisi SendPassword -- şifreleme şifresini C2'ye gönder! CreatePassword -- şifreleme şifresi üret -- Süreç: CreatePassword → şifre oluştur → AES ile şifrele → SendPassword → C2'ye gönder -- Kurban dosyaları şifrelendikten sonra şifre C2'de -- HiddenTear'ın zayıflığı: eski versiyonlarda şifre sabit/tahmin edilebilir
IOC
| SHA256 | f8d907099731ba44937984b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| C2 URL | http://www.endyou.xn--6frz82g/listen/listen.php |
| PDB | C:\Users\Loli\...\FlatChestWare\obj\Release |
HiddenTear — 악성코드 프로필
HiddenTear açık kaynak ransomware. FlatChestWare türevi. Loli kullanıcısı. encryptAES SendPassword CreatePassword. Punycode C2.
악성코드 유형
Ransomware
프로그래밍 언어
C#/.NET
C2 프로토콜
HTTP
대상 시스템
Küresel
기능 및 동작
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC 목록 (1 개 지표)
IOC — HiddenTear
# SHA256
f8d907099731ba44937984b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | f8d907099731ba44937984b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| endyou.xn--6frz82g | domain | 80 | HTTP | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.