Manuel Statik Analiz — Meduza Stealer | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 파일 이름 | RUN.exe (çalıştır/başlat) |
| 크기 | 1.549.312 byte (1.48MB) |
| String Sayisi | 21.296 |
Beş C2 Substring
C2 KALIPLAR:
@c2/$ -- @ prefix + c2 + dolar işareti 9&!c2 -- rakam + & + ünlem + c2 >.T^1C2$i -- büyük ok + T ^ 1 C2 $ i &lT^1C2$Q -- & l T ^ 1 C2 $ Q 8U,c2< -- 8 U virgül c2 küçük ok
Çift NT API Anti-Debug
NtQuerySystemInformation -- Sistem bilgisi sorgusu (VM/debug tespiti) NtQueryInformationProcess -- Process bilgisi sorgusu (debug port kontrolü) -- Her ikisi NT API: Windows NT yerel (native) API -- NtQuerySystemInformation: sistemde kaç çekirdek? Bellek boyutu? → Sandbox'ta düşük bellek/tek çekirdek → atla! -- NtQueryInformationProcess: ProcessDebugPort = 0 değilse debugger var! -- Meduza: bu iki kontrolü birlikte yapar → çift doğrulama
IOC
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|
MeduzaStealer — 악성코드 프로필
Meduza Stealer Rus C++ stealer. RUN.exe. NtQuery cift anti-debug. MinGW derlenmiş.
악성코드 유형
Infostealer
프로그래밍 언어
C#/.NET
C2 프로토콜
HTTP/TLS
대상 시스템
Kuresel — Oyun/Kripto Topluluklari
기능 및 동작
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC 목록 (1 개 지표)
IOC — MeduzaStealer
# SHA256
7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |