Manuel Statik Analiz — Maze Ransomware | Tehdit: 심각
파일 Kimliği
| SHA256 | 4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| 크기 | 920.552 byte (899KB) |
| String Sayisi | 3.993 |
EncryptionDisable: EFS Devre Dışı
EFS DEVRE DIŞI: Windows dosya sistemi şifreleme kaldırılıyor!
EncryptionDisable (advapi32.dll) -- EFS = Encrypting File System (Windows yerleşik dosya şifreleme) -- EFS etkin dosyalar: Maze'in kendi şifresi ile şifreleyemez! -- Çözüm: önce EncryptionDisable → EFS'i kaldır → sonra Maze ile şifrele -- Kurban: hem EFS korumasını hem de dosyalarını kaybeder -- Maze'in benzersiz tekniği: dosya korumasını kendi şifrelemeden önce kaldırır
WinCrypt API Tam Suite
CryptGenKey -- Şifreleme anahtarı üret CryptExportKey -- Anahtarı dışa aktar (şifreli kap) CryptEncrypt -- Veri şifrele CryptDecrypt -- Veri çöz (test amaçlı) CryptDestroyKey -- Anahtarı bellekten sil -- Maze: RSA ile AES anahtarını şifreler → CryptExportKey ile depolar -- Kurban anahtarı: Maze'in RSA private key'i olmadan açılamaz
NtQueryEaFile: EA Sorgusu
NtQueryEaFile (ntdll.dll) -- Extended Attributes = NTFS dosya meta verileri -- Maze: EA kontrolü ile zaten işaretlenmiş dosyaları atlar -- Çifte şifreleme önleme mekanizması
IOC
| SHA256 | 4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Teknik | EncryptionDisable + WinCrypt tam suite |
Maze — 악성코드 프로필
Maze ransomware. EFS EncryptionDisable. WinCrypt tam suite. NtQueryEaFile EA sorgusu. 2019-2020 aktif. Çifte gasp öncü.
악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
HTTPS
대상 시스템
Kurumsal
기능 및 동작
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC 목록 (1 개 지표)
IOC — Maze
# SHA256
4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 4263eacd358d5ef9920552b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |