Manuel Statik Analiz — SmokeLoader | Tehdit: YUKSEK

파일 Kimliği

SHA256f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
파일 이름autoruns.exe (Sysinternals Autoruns taklidi!)
크기520.136 byte (520KB)
String Sayisi5.895

Sysinternals Autoruns Taklidi

Sosyal Mühendislik: 신뢰도lik aracı olarak gizlendi!
autoruns.exe
-- Sysinternals Autoruns = Windows startup item yöneticisi
-- IT personeli ve güvenlik araştırmacıları sık kullanır
-- Saldırgan hedef: güvenlik çalışanları veya IT admin
-- Sahte Autoruns → SmokeLoader dropper → ek payload yükleme
-- GetTickCount64 + IsDebuggerPresent: sandbox/debug tespiti

Dört C2 Substring Referansı

C2rj$
C2v]/
?c2VIz
c2+sel
-- SmokeLoader şifreli C2 config'den sızan 4 substring
-- C2 büyük/küçük kombinasyonu: farklı config struct field'larından
-- "C2rj$" ve "C2v]/" = büyük C2 prefix → client-side struct
-- "c2VIz" ve "c2+sel" = küçük c2 → server-side referans

IOC

SHA256f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Lureautoruns.exe (Sysinternals Autoruns taklidi)

SmokeLoader2 — 악성코드 프로필

SmokeLoader modular loader. autoruns.exe Sysinternals taklidi. C2rj$ c2VIz c2 substrings. GetTickCount64. 2014den beri aktif.

악성코드 유형
Loader
프로그래밍 언어
C
C2 프로토콜
HTTP/TCP
대상 시스템
Küresel

기능 및 동작

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC 목록 (1 개 지표)

IOC — SmokeLoader2
# SHA256 f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
유형메모
sha256 f2b41e3f4d713157520136b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
태그
smokeloaderautoruns-exe-disguisesysinternals-fakec2rj-substringc2vz-substringmultiple-c2-substringsgettickccount64isdebuggerpresent