Genel Bakis

Bu ornek, 8.5KB'lik bir Windows kisa yol (.lnk) phishing dosyasi. Icinde Base64 kodlu PowerShell komutu barindiran bu LNK dosyasi, belirli bir makinayi (laptop-pp7fvpth) ve kullaniciyi (SID: S-1-5-21-4018316176...) hedef alan hedefli saldiri karakteri tasimaktadir. TLS 1.2 ile sifrelenmis baglantilar kuran bu dropper, ZIP dosyasi indirip acmak uzere tasarlanmistir.

Teknik Analiz

LNK Droppper Mekanizmasi

  • LNK hedef: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  • Icerige gömülü Base64 PS1 komutu — dogrudan calistiriliyor
  • TLS 1.2 baglantisi: SecurityProtocolType]::Tls12 (base64 icinde goruluyor)
  • ZIP indirip acma: temp dosya olusturma + ZIP acma mantigi

Hedefli Saldiri Gostergeleri

  • Kullanici SID: S-1-5-21-4018316176-2930928383-3956032897-1003
  • Makina adi: laptop-pp7fvpth
  • Bu SID/hostname kombinasyonu, LNK'nin belirli bir makina icin hazirlanadigini gosteriyor
  • Spear-phishing taktigi

Base64 PowerShell (Koda Gormek)

  • ZwAoACIA... — UTF-16 LE kodlu PS1 bloklari
  • Gizli TLS 1.2 baglanti kurma
  • Gecici dosya indirme ve calistirma
  • ExpandEnvironmentVariables referansi — ortam degiskenlerine erisim

Hata Kaydi

  • TEMP\lnk_error.txt — lnk hata kaydi dosyasi

Teknik Ozellikler

Ozellik
FormatWindows Shortcut (.lnk)
크기8.497 bayt
PayloadGömülü Base64 PowerShell
Hedeflaptop-pp7fvpth (spesifik makina)
SIDS-1-5-21-4018316176-2930928383-3956032897-1003
AgTLS 1.2

IOC Ozeti

  • SHA256: 998a2cbd0f0548e0de818fc305963fcad64de1ebcd28e039f43d42af4c4b52c6

IOC 목록 (1 개 지표)

IOC — LNK Dropper
# SHA256 998a2cbd0f0548e0de818fc305963fcad64de1ebcd28e039f43d42af4c4b52c6
유형메모
sha256 998a2cbd0f0548e0de818fc305963fcad64de1ebcd28e039f43d42af4c4b52c6
태그
lnkphishingpowershellbase64spear-phishingtargetedtls12zip-droppershortcutsidwindows