Derin Statik Analiz — VBS Dropper (Çift Uzantı) | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3 |
|---|---|
| 파일 이름 | INVOICE-7141.JPEG.vbs (Çift uzantı: .JPEG görünümü, .vbs gerçek tür) |
| 크기 | 459 KB (VBScript) |
INVOICE-7141.JPEG.vbs: Çift Uzantı Sosyal Mühendislik
INVOICE-7141.JPEG.vbs -- Kullanıcı görür: "INVOICE-7141.JPEG" → fatura JPEG resmi sanıyor -- Gerçek uzantı: .vbs → VBScript (tehlikeli!) -- Windows Explorer: uzantı gizleme açıkken ".vbs" gözükmez - Dosya simgesi: JPEG ikonu gösterilmesi için ayarlanabilir -- E-posta: "faturanız ekte JPEG formatında" → tıkla → WScript çalışır -- Çift uzantı tekniği: en eski ve hâlâ en etkili sosyal mühendislik
39d30cfe5d033f4342c289362d.ru: C2 Hex Subdomain
C2 DOMAIN: Hex görünümlü subdomain + .ru TLD = yüksek güvenilirlikle C2!
39d30cfe5d033f4342c289362d.ru -- Subdomain: "39d30cfe5d033f4342c289362d" (26 hex karakter) -- 26 hex karakter: olası MD5 hash kısaltması (MD5 = 32 hex) -- Kısa MD5 subdomain: her kurban/kampanya için farklı subdomain (DGA benzeri) -- .ru TLD: Rusya kayıtlı alan adı -- VBS dropper → bu domain → ikincil payload indiriyor -- "39d30cfe5d..." : orijinal hex değeri → kurban/kampanya tanımlayıcısı olabilir
StrReverse + certutil Decode: Ters Komut Obfuskasyonu
-- Komut tersine çevrilmiş halde saklanıyor: " edoced- litutrec" → StrReverse() → "certutil -decode" -- certutil: Windows dahili araç (beyaz liste bypass!) - certutil -decode: base64 veya DER formatını çözer - Living off the land: sistem aracını payload çözme için kullan -- COM nesneleri obfuskasyonu: SCripTing.fIlESysTemoBJecT → Scripting.FileSystemObject WSCRIpt.sHeLL → WScript.Shell -- Büyük/küçük harf karıştırma: COM late-binding case-insensitive
%TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe: Drop Yolu
%TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe -- "s" prefix + 39 hex karakter = hash tabanlı dosya adı -- %TEMP% klasörü: kullanıcı yazma izni var, güvenli analiz alanı değil -- Ara blob dosyası: %TEMP%\G97798c82ee8e889c30f8a7 → certutil decode → ikincil PE -- Tam zincir: 1. INVOICE-7141.JPEG.vbs çalıştır 2. certutil ile base64 çöz → s53a4a2b43e0fe695...exe oluştur 3. Payload çalıştır → C2'ye bağlan: 39d30cfe5d033f4342c289362d.ru
IOC
| SHA256 | 1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3 |
|---|---|
| C2 Domain | 39d30cfe5d033f4342c289362d.ru |
| Drop Path | %TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe |
VBSDropper — 악성코드 프로필
VBScript dropper. INVOICE.JPEG.vbs double extension. 39d30cfe5d033f4342c289362d.ru hex subdomain C2. StrReverse certutil decode. TEMP drop path.
악성코드 유형
Loader
프로그래밍 언어
VBScript
C2 프로토콜
HTTP
대상 시스템
Küresel
기능 및 동작
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC 목록 (1 개 지표)
IOC — VBSDropper
# SHA256
1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3 |