Manuel Statik Analiz — MetaStealer | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 6c5f08e03aea51dd15703048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 파일 이름 | oc.exe |
| 크기 | 1.570.304 byte (1.5MB) |
| String Sayisi | 7.655 |
Sandboxie Sandbox Tespiti
SOFTWARE\Sandboxie -- Registry key tespiti (Sandboxie kurulumu) Sandboxie detected -- Tespit mesajı (string kanıtı!) CheckRemoteDebuggerPresent -- Remote debugger kontrolü -- Sandboxie: İzole sandbox ortamı (analiz için kullanılır) -- Bu string'i tespit edince: çalışmayı durdur / sahte davran
Şifreli Config Ayrıştırıcı
Header parsed - headerSize: %d, blockSize: %d, keySize: %d, encryptedSize: %d -- Yapılandırma dosyası şifreleme formatı teyiti -- headerSize: Config başlık boyutu -- blockSize: Şifreleme blok boyutu (AES-128/256 block size) -- keySize: Şifreleme anahtar uzunluğu (128/256 bit) -- encryptedSize: Şifreli payload boyutu -- C&C adresi ve kimlik bilgileri bu şifreli config'de saklanır
IOC
| SHA256 | 6c5f08e03aea51dd15703048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Anti-sandbox | SOFTWARE\Sandboxie (registry) |
| Config | headerSize/blockSize/keySize şifreli format |
MetaStealer — 악성코드 프로필
MetaStealer GCC 6.3.0 Cygwin build. oc.exe. Sandboxie detect CheckRemoteDebuggerPresent. AES/block sifreli C2.
악성코드 유형
Infostealer
프로그래밍 언어
C++ (GCC)
C2 프로토콜
HTTP
대상 시스템
Küresel
기능 및 동작
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC 목록 (1 개 지표)
IOC — MetaStealer
# SHA256
6c5f08e03aea51dd15703048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 6c5f08e03aea51dd15703048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |