Derin Statik Analiz — AgentTesla | Tehdit: high

Dosya Kimligi

SHA25675ab1254bcb71bceafebf3297dcd931f991baf587a9690686b644407ea938468
MD55ce7c1223195b2f892fb86e6cfc3bb89
SHA1d86d6018d4bd3142a8d7c0e4c51d0c8c9c3695ea
Boyut636821 byte
Tur/opt/ksentinel/samples/5a505f489d40c545ddacf31c16898cc85d6cf4bb308ff8448e24bcc74
DerlemeBilinmiyor
PackerUPX
C2 Adresi: Sifrelenmis/obfuskeli config (statik analizle cozulemedi)

Yetenekler

  • Tespit edilemedi (obfuskeli)

Gelistirici Ipuclari

PDB Yolu: bash: -c: line 1: syntax error near unexpected token `|' bash: -c: line 1: `grep -oiE '[A-Za-z]:\\Users\\[^\\]{2,30}\\[^

Telegram: @0ND1 @771I @8rEW @fgqS1 @ha11

PE Analizi

Binwalk / Packer

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Zip archive data, encrypted compressed size: 63

Aile Tespiti

String kaniti bulunamadi (sifrelenmis/obfuskeli).

AgentTesla — Malware Profili

AgentTesla .NET credential stealer. JS dropper @version 8.16.22. Sayısal obfuscation v6034. SMTP FTP HTTP C2.

Malware Tipi
Infostealer
Programlama Dili
.NET
C2 Protokolü
SMTP/FTP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
Agent Tesla

Teknik Detaylar

C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot

Atıf / Tehdit Aktörü

Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.

Yetenekler ve Davranış

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC Listesi (5 gösterge)

IOC — AgentTesla
# d86d6018d4bd3142a8d7c0e4c51d0c8c9c3695ea # SHA256 75ab1254bcb71bceafebf3297dcd931f991baf587a9690686b644407ea938468 # MD5 5ce7c1223195b2f892fb86e6cfc3bb89 # FILEPATH bash: -c: line 1: syntax error near unexpected token `|' # FILEPATH bash: -c: line 1: `grep -oiE '[A-Za-z]:\\[^\s\"'\'<>|*?]{5,150}' /tmp/all.txt | grep -viE '(msbuild|nuget|packages|Microsoft\.NET)' | sort -u | head -10'
TürDeğerNot
d86d6018d4bd3142a8d7c0e4c51d0c8c9c3695ea
sha256 75ab1254bcb71bceafebf3297dcd931f991baf587a9690686b644407ea938468
md5 5ce7c1223195b2f892fb86e6cfc3bb89
filepath bash: -c: line 1: syntax error near unexpected token `|'
filepath bash: -c: line 1: `grep -oiE '[A-Za-z]:\\[^\s\"'\'<>|*?]{5,150}' /tmp/all.txt | grep -viE '(msbuild|nuget|packages|Microsoft\.NET)' | sort -u | head -10'

C2 Sunucuları (Bu aile için 8 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
digicert.com domain &mdash; TCP active &mdash;
stem.ru domain &mdash; TCP active &mdash;
digicert.com domain &mdash; TCP active &mdash;
dublincore.org domain &mdash; TCP active &mdash;
googleapis.com domain &mdash; TCP active &mdash;
microsoft.com domain &mdash; TCP active &mdash;
freightfacilitators.com domain &mdash; TCP active &mdash;
digicert.com domain &mdash; TCP active &mdash;

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
agentteslastatik-analizhighc2iocpe