Manuel Statik Analiz — IcedID | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 17014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 파일 이름 | info_IR-99661418.msi |
| 크기 | 1.130.496 byte (1.1MB MSI) |
| String Sayisi | 5.745 |
Fatura Kopyası Lure
info_IR-99661418.msi -- "IR" = Invoice Receipt (fatura makbuzu) -- #99661418 = sekiz haneli belge seri numarası -- "info_" prefix = "fatura bilgisi" iddiası -- MSI = "yazılım kurulum" görünümlü teslimat -- Finans/muhasebe personeli hedef alınıyor
C2 Domain: NSABX.GG
Aktif C2: NSABX.GG (.gg Guernsey TLD)!
NSABX.GG -- .GG = Guernsey Crown bağlı bölge TLD'si (İngiltere) -- 5 karakter rastgele: N-S-A-B-X (anlamsız kombinasyon) -- .GG TLD ucuz ve kayıt kolay → saldırgan tercih ediyor -- IcedID C2 kısa domain tercih eder: tespit/kara liste zor
Özel Sıkıştırma: cT_Gzip_Uncompress
cT_Gzip_Uncompress -- IcedID özel Gzip sıkıştırma çözme rutini -- "cT_" prefix = özel kütüphane/modül adlandırması -- Payload/config şifreli + sıkıştırılmış şekilde gömülmüş -- RtlLookupFunctionEntry: exception handler araştırması (anti-debug)
IcedID Hakkında
IcedID (BokBot) 2017'de banking trojan olarak başladı. TrickBot/Emotet'in yerini aldı. Cobalt Strike, Ryuk ve Conti için başlangıç vektörüdür. 2023'te IcedID Lite varyantı tespit edildi: ransomware dağıtımına odaklanmış daha küçük boyut. BackConnect proxy modülü ile ağ içinde yanal hareket sağlar.
IOC
| SHA256 | 17014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | NSABX.GG |
| Lure | info_IR-99661418.msi (Invoice Receipt #99661418) |
IcedID3 — 악성코드 프로필
IcedID BokBot 2017. info_IR-99661418.msi fatura. NSABX.GG C2. cT_Gzip_Uncompress. CobaltStrike+Ryuk loader.
악성코드 유형
Loader
프로그래밍 언어
C
C2 프로토콜
HTTPS
대상 시스템
Küresel Finans
기능 및 동작
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC 목록 (1 개 지표)
IOC — IcedID3
# DOMAIN
nsabx.gg
| 유형 | 값 | 메모 |
|---|---|---|
| domain | nsabx.gg |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| NSABX.GG | domain | 443 | HTTPS | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.