파일 Kimligi
| SHA256 | ea096956563a39486203fb29d70cde41840da92d1da5d48e8f4fd72b3ceafc1f |
|---|---|
| 파일 Adi | sysmon.exe (Sysinternals Sysmon kamuflaj) |
| 크기 | 401.920 byte |
| String Sayisi | 2.599 |
Kamuflaj Stratejisi
sysmon.exe ismi, Microsoft Sysinternals'in legitim guvenlik aracinin adini taklit eder. Sistem yoneticileri ve AV'ler bu isme guvenerek islemin analiz edilmesini atlayabilir.
Hedefler
chrome, chrome.dll, chrome_elf.dll, chrome.exe -- Google Chrome kullanici veritabani ve cookie hedefleniyor
PrivateLoader Hakkinda
PrivateLoader, 2021 yilindan beri aktif olan bir Pay-Per-Install (PPI) loader hizmetidir. Underground piyasada satilan bu hizmet, musterilerin istedikleri payload'lari kurban sistemlerine yukleme kapasitesi saglar. Hedef sistemde ilk kez calistirildiktan sonra sifrelenmis C2 ile iletisim kurar ve ikinci asama payload (RedLine, Raccoon, Vidar, vb.) indirir.
IOC
| SHA256 | ea096956563a39486203fb29d70cde41840da92d1da5d48e8f4fd72b3ceafc1f |
|---|---|
| Kamuflaj | sysmon.exe (Sysinternals taklidı) |
| Hedef | Chrome DLL |
PrivateLoader — 악성코드 프로필
PrivateLoader/PrivateLdr. sysmon.exe Sysinternals fake. cJSON C library. Chrome browser targeting.
기술 세부 정보
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
기능 및 동작
IOC 목록 (1 개 지표)
# SHA256
ea096956563a39486203fb29d70cde41840da92d1da5d48e8f4fd72b3ceafc1f
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | ea096956563a39486203fb29d70cde41840da92d1da5d48e8f4fd72b3ceafc1f |
C2 서버 (이 패밀리에 대해 4개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| 45.142.213.167 | ip | 80 | HTTP | inactive | RU |
| 87.251.64.160 | ip | 80 | HTTP | inactive | NL |
| known2.me | domain | 443 | HTTPS | inactive | — |
| 45.138.74.63 | ip | 443 | HTTPS | sinkholed | RU |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.