Manuel Statik Analiz — DanaBot Banking Trojan | Tehdit: KRITIK

Dosya Kimliği

SHA256247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut1.400.832 byte
String Sayisi2.338

DanaBot'un Evrimi

DanaBot, 2018'de Avustralya'da ortaya çıkan Delphi tabanlı modüler banking trojan'dır. 2022'de Rusya'nın NATO iletişimini hedefleyen Cobalt Strike dropper olarak yeniden konumlandırıldı. Temmuz 2023'te FBI/DOJ operasyonuyla ilgili altyapı kapatıldı. Operatörler, müşterilerine farklı ID numaraları tahsis eden MaaS modeli kullandı.

Teknik Özellikler

RSA-2048 + RC4 -- İki katmanlı C2 iletişim şifrelemesi
DLL Eklentileri -- Modüler mimari (VNC, sniffer, keylogger, stealer)
CreateMutexA    -- Çoklu enfeksiyon önleme mutex'i
Anti-Debug      -- IsDebuggerPresent kontrolü

IOC

SHA256247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
AtıfRusya bağlantılı tehdit aktörü (malprogrammer takma adı)
ŞifrelemeRSA-2048 + RC4 iki katman

DanaBot — Malware Profili

DanaBot, Loader kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, hedef sisteme ek zararlı yazılım yüklemek amacıyla tasarlanmış modüler bir yükleyici (loader) olarak tespit edilmiştir. Spam kampanyaları veya drive-by download saldırıları aracılığıyla dağıtılan bu yükleyici, sisteme sızdıktan sonra bankacılık trojanları, fidye yazılımları veya diğer ikinci aşama yükler indirebilmektedir.

Malware Tipi
Loader
Programlama Dili
Delphi
C2 Protokolü
TCP
Hedef Sistemler
Windows

Teknik Detaylar

Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Yetenekler ve Davranış

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC Listesi (1 gösterge)

IOC — DanaBot
# SHA256 247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TürDeğerNot
sha256 247c740bf91c64ba1400832b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Etiketler
danabotbanking-trojancobalt-strike-dropperrsa-rc4two-layer-encryptionrussia-ta