Manuel Statik Analiz — Gootkit Loader | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |
|---|---|
| Dosya Adı | Riba_domestic_building_contract_free_download.exe |
| Boyut | 143.744 byte |
| String Sayisi | 3.166 |
UK RIBA İnşaat Sözleşmesi Tuzağı
Lure: Royal Institute of British Architects (RIBA) — İngiltere inşaat sektörü hedefi!
Akademik Kaynak Dead Drop
Kritik Teknik: Meşru akademik siteler C2 dead drop olarak kullanılıyor!
http://astron-soc.in/bulletin/11June/289392011.pdf -- Hint Astronomi Derneği PDF http://hummer.stanford.edu/museinf... -- Stanford Üniversitesi araştırma sunucusu -- Akademik domain = whitelist/proxy bypass hex.su -- .su TLD (Sovyet) C2 domain
Şifreli C2 Config Fragmenti
answerw='n|vCtlmclfg[+rgDao*(ro)3e|]9zo))+l5]sC2(ie(DtsD(5|[8+aG)cTv)awm; -- Gootkit C2 sunucu şifreli yapılandırma fragmenti
IOC
| SHA256 | f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |
|---|---|
| C2 | hex.su |
| Dead Drop | astron-soc.in, Stanford Hummer |
| Lure | RIBA UK inşaat sözleşmesi |
Gootkit2 — Malware Profili
Gootkit2 (GootLoader) bankacilık trojanı+loader. Akademik site dead drop. RIBA/UK lure. SEO poisoning.
Malware Tipi
Loader
Programlama Dili
JavaScript/Node.js
C2 Protokolü
HTTP
Hedef Sistemler
Finans/UK/Almanya
Yetenekler ve Davranış
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC Listesi (1 gösterge)
IOC — Gootkit2
# SHA256
f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
| Tür | Değer | Not |
|---|---|---|
| sha256 | f78bcfb8006be986143744b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5 |
C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| hex.su | domain | 443 | HTTPS | inactive | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.