Manuel Statik Analiz — ModiLoader (DBatLoader) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |
|---|---|
| Dosya Adı | flxfmg.exe |
| Boyut | 407.040 byte |
| String Sayisi | 3.310 |
Şifreli C2 Config Fragmentleri
2'212;2C2I2W2r2 -- C2 config şifreli veri bloğu
1+2@2c2{2 -- C2 config fragmenti
222C2 -- C2 referansı
ModiLoader/DBatLoader Hakkında
ModiLoader (DBatLoader), 2022'den beri aktif Delphi tabanlı loader ailesidir. AgentTesla, FormBook, LokiBot, Remcos gibi bilgi hırsızlarını ve RAT'ları yüklemek için kullanılır. İş konulu e-posta (spear-phishing) ile dağıtılır. Bulut depolama (OneDrive, Google Drive) üzerinden payload indirme özelliği vardır.
IOC
| SHA256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |
|---|
ModiLoader — Malware Profili
ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.
Malware Tipi
Loader
Programlama Dili
Delphi
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Teknik Detaylar
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Yetenekler ve Davranış
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC Listesi (1 gösterge)
IOC — ModiLoader
# SHA256
b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8
| Tür | Değer | Not |
|---|---|---|
| sha256 | b563bb3d1fd04257e9a2c5b8f1d4e7a0c3f6b9d2e5a8b1c4f7e0a3d6b9c2f5e8 |