Manuel Statik Analiz — MetaStealer | Tehdit: YUKSEK

Файл Kimliği

SHA2566c5f08e03aea51dd15703048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Имя файлаoc.exe
Размер1.570.304 byte (1.5MB)
String Sayisi7.655

Sandboxie Sandbox Tespiti

SOFTWARE\Sandboxie   -- Registry key tespiti (Sandboxie kurulumu)
Sandboxie detected   -- Tespit mesajı (string kanıtı!)
CheckRemoteDebuggerPresent  -- Remote debugger kontrolü
-- Sandboxie: İzole sandbox ortamı (analiz için kullanılır)
-- Bu string'i tespit edince: çalışmayı durdur / sahte davran

Şifreli Config Ayrıştırıcı

Header parsed - headerSize: %d, blockSize: %d, keySize: %d, encryptedSize: %d
-- Yapılandırma dosyası şifreleme formatı teyiti
-- headerSize: Config başlık boyutu
-- blockSize: Şifreleme blok boyutu (AES-128/256 block size)
-- keySize: Şifreleme anahtar uzunluğu (128/256 bit)
-- encryptedSize: Şifreli payload boyutu
-- C&C adresi ve kimlik bilgileri bu şifreli config'de saklanır

IOC

SHA2566c5f08e03aea51dd15703048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Anti-sandboxSOFTWARE\Sandboxie (registry)
ConfigheaderSize/blockSize/keySize şifreli format

MetaStealer — Профиль вредоносного ПО

MetaStealer GCC 6.3.0 Cygwin build. oc.exe. Sandboxie detect CheckRemoteDebuggerPresent. AES/block sifreli C2.

Тип вредоносного ПО
Infostealer
Язык программирования
C++ (GCC)
C2 Протокол
HTTP
Целевые системы
Küresel

Возможности и поведение

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Список IOC (1 индикаторов)

IOC — MetaStealer
# SHA256 6c5f08e03aea51dd15703048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
ТипЗначениеПримечание
sha256 6c5f08e03aea51dd15703048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Теги
metastealersandboxie-detectionsandboxie-registryheadersize-blocksizeencrypted-config-parsercheckremotedebuggergcc-cpp