Manuel Statik Analiz — SmokeLoader | Tehdit: 심각

파일 Kimliği

SHA256f2b41e3f4d713157c2e9a4b8f6d3e7c1a5b2d9f4e8c3b6a1d5e9f2c4b7a0d6e3
파일 이름autoruns.exe (Sysinternals Autoruns TAKLİDİ!)
크기520.136 byte (508KB)
String Sayisi1.142

autoruns.exe + "Sysinternals Autoruns": PE Versiyon Bilgisi Tam Taklidi

TAM TAKLİT: PE dosyası Sysinternals Autoruns kimliğini TAMAMEN kopyalıyor!
autoruns.exe                -- dosya adı = gerçek Sysinternals aracıyla aynı!
"Sysinternals Autoruns"     -- OriginalFilename/ProductName PE versiyon bilgisi
"Sysinternals autoruns"     -- InternalName alanı
FileVersion                 -- versiyon numarası mevcut
ProductVersion              -- ürün versiyonu mevcut
-- Sysinternals Autoruns = Microsoft'un meşru güvenlik aracı
  - IT yöneticileri tarafından kullanılır
  - Windows Defender bazen izin listesine alır
  - Yöneticiler "autoruns.exe" gördüğünde şüphelenmez
-- SmokeLoader'ın taklidi:
  - PE versiyon bilgisi = gerçek Autoruns ile AYNI ALANLARI içeriyor
  - "Sysinternals Autoruns" ürün adı: güven oluşturuyor
  - Meşru güvenlik araçlarını taklit = en etkili AV kaçış yöntemlerinden biri

C:\Users\Spaso\...\stub.pdb: Geliştirici PDB Sızıntısı

C:\Users\Spaso\source\repos\stub\Release\stub.pdb
-- "Spaso" = geliştirici kullanıcı adı (Sırpça/Makedonca erkek ismi!)
  - "Spaso" = Balkan kaynaklı isim (Sırpça: Spasoje)
  - Geliştirici bilgisayarındaki tam yol
-- "source\repos\stub" = Visual Studio varsayılan proje yolu
  - "source\repos" = VS'nin git repoları için varsayılan konum
  - "stub" = proje adı ("stub" = enjektör/yükleyici stub kodu)
  - "Release" = yayın derlemesi (optimized, debug bilgisi yok)
-- "stub.pdb" = Program Database (sembol dosyası)
  - Release build'de PDB sızması: geliştirici hatasıyla bırakılmış!
  - Forensik değer: Spaso'nun bilgisayarını, proje yapısını ortaya koyuyor
  - Bu tür PDB sızıntıları: APT gruplarının developer makinesini teşhis etmede kullanılır

IOC

SHA256f2b41e3f4d713157c2e9a4b8f6d3e7c1a5b2d9f4e8c3b6a1d5e9f2c4b7a0d6e3
파일 이름autoruns.exe
GeliştiriciSpaso (PDB: C:\Users\Spaso\...\stub.pdb)

SmokeLoader — 악성코드 프로필

SmokeLoader. autoruns.exe Sysinternals version info spoofing. Spaso developer PDB username. stub.pdb loader project artifact.

악성코드 유형
Loader
프로그래밍 언어
C
C2 프로토콜
HTTP
대상 시스템
Windows
다른 이름 (AKA)
Dofoil

기술 세부 정보

SmokeLoader (Dofoil/Smoke Bot) is a modular loader/downloader active since 2011. Primary function: download and execute additional payloads (Emotet, TrickBot, FormBook, Ursnif). Heavy obfuscation: string encryption (RC4+XOR), process injection via APC, code injection. Heaven's Gate technique: switches from 32-bit to 64-bit mode to evade WoW64 hooks. Anti-analysis: CPUID-based VM detection, process listing for analysis tools, timing checks. Uses process hollowing to inject into explorer.exe or svchost.exe. C2 communication: RC4-encrypted HTTP POST requests with bot ID, campaign ID. Sold as pay-per-install (PPI) service on underground forums (~$400/1000 installs). Frequently updated to bypass detection, >100 variants documented.

귀속 / 위협 행위자

Unknown (sold on underground forums, multiple operators)

기능 및 동작

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC 목록 (1 개 지표)

IOC — SmokeLoader
# SHA256 f2b41e3f4d713157c2e9a4b8f6d3e7c1a5b2d9f4e8c3b6a1d5e9f2c4b7a0d6e3
유형메모
sha256 f2b41e3f4d713157c2e9a4b8f6d3e7c1a5b2d9f4e8c3b6a1d5e9f2c4b7a0d6e3

C2 서버 (이 패밀리에 대해 5개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
80.66.75.36 ip 80 HTTP inactive RU
148.72.171.175 ip 80 HTTP inactive US
91.243.44.247 ip 8888 HTTP inactive RU
185.173.35.16 ip 8080 HTTP inactive RU
torcavpcs1.atitech.com domain 443 TCP inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
smokeloadersmoke-loaderautoruns-exe-sysinternals-autoruns-version-info-spoofingspaso-developer-pdb-usernamestub-pdb-loader-project-artifactsysinternals-impersonationpe-version-info-spoof