Manuel Statik Analiz (LLM Okumali) — Matanbuchus DLL Loader | Tehdit: YUKSEK
Файл Kimligi
| SHA256 | 211cea7a5fe12205fee4e72837279409ace663567c5b8c3f33b47da87dda0a82 |
|---|---|
| Format | DLL (PE32) |
| Размер | 495.640 byte |
| String Sayisi | 2.172 |
libcurl HTTP Istemci Kaniti
https://curl.se/ -- libcurl copyright https://curl.se/docs/copyright.html -- libcurl statik linkli, HTTPS C2 trafinini gizlemek icin
Sifrelenmis C2 Config Fragmentleri
2.232U2c2s2 -- Sifrelenmis config basligi (UTF-16LE) 1(242C2I2O2T2Z2g2n2 -- C2 config fragment 2'2.242C2L2z2 -- C2 config fragment
Matanbuchus Hakkinda
Matanbuchus, 2021 yilindan beri underground forumlarda MaaS olarak satilan C++ tabanli bir loader ailesidir. Affiliate musteriler istedikleri payloadi kurban sistemlerine yukleme icin kiralayabilir. libcurl kullanarak HTTPS trafinini mesgru gostermesi, ag analizini zorlastirir. Cobalt Strike, BumbleBee ve IcedID yuklemesiyle bilinen kampanyalarda gorulmustir.
IOC
| SHA256 | 211cea7a5fe12205fee4e72837279409ace663567c5b8c3f33b47da87dda0a82 |
|---|---|
| Protokol | HTTPS (libcurl statik) |
| C2 | Sifrelenmis config |
Matanbuchus — Профиль вредоносного ПО
Matanbuchus loader. Session key özel kripto el sikisma. no malloc support C runtime. CreateMutexW.
Тип вредоносного ПО
Loader
Язык программирования
C++
C2 Протокол
HTTPS
Целевые системы
Windows
Технические детали
Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri
Возможности и поведение
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Список IOC (1 индикаторов)
IOC — Matanbuchus
# SHA256
211cea7a5fe12205fee4e72837279409ace663567c5b8c3f33b47da87dda0a82
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | 211cea7a5fe12205fee4e72837279409ace663567c5b8c3f33b47da87dda0a82 |