Manuel Statik Analiz — ModiLoader | Tehdit: СРЕДНИЙ
Файл Kimliği
| SHA256 | cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2 |
|---|---|
| Имя файла | TFG0890000001.exe (Lojistik Sevkiyat Kodu!) |
| Размер | 1.662.445 byte (1.59MB) |
| String Sayisi | 26.962 |
TFG0890000001.exe: Lojistik Sevkiyat Kodu Lürü
TFG0890000001.exe -- "TFG" = lojistik şirketi kodu veya fatura prefix -- "0890000001" = 10 haneli seri numara (önde sıfırlar) -- Format: [3 harf][10 rakam].exe = kurumsal belge formatı -- Teslimat lürü: "sevkiyat belgesi", "nakliye irsaliyesi" - Lojistik sektörü çalışanları → TFG numaralı belgeler bekliyor - E-posta ekinde .exe → "belgeyi açmak için..." tuzağı
Microsoft.TeamFoundation.WorkItemTracking: Azure DevOps SDK Gömülü
OLAĞANDIŞI C2 KANAL: Azure DevOps work item'ları C2 iletişimi için kullanılıyor olabilir!
Microsoft.TeamFoundation.WorkItemTracking.Client Microsoft.TeamFoundation.WorkItemTracking.Common Microsoft.TeamFoundation.WorkItemTracking.Common.DataStore Microsoft.TeamFoundation.WorkItemTracking.Common.Provision WorkItemStore WorkItemType WorkItemTypeCollection WorkItemLinkType get_WorkItemTypes LoadFieldIdsByWorkItemType -- Team Foundation Server = Microsoft'un ALM/DevOps platformu -- "WorkItemTracking" = proje yönetimi iş öğesi takip modülü -- ModiLoader bu kütüphaneyi neden gömüyor? - Meşru trafik kanalı: Azure DevOps → şirket firewall'larından geçer! - C2 mekanizması: Azure DevOps work item'ları → komutlar oluşturuluyor - Kurban → Azure DevOps API → saldırgan controlled project - Bu teknik: BazarLoader'ın Google Docs kullanmasına benzer! - "WorkItemStore.Query()" = C2'den komut çekme olabilir
MySql.Data.MySqlClient: MySQL .NET Konnektörü
MySql.Data MySqlConnection MySql.Data.MySqlClient -- MySQL .NET Connector gömülü! -- Olası kullanım: 1. Yerel veri kalıcılığı: çalınan kimlik bilgileri yerel DB'ye kaydediliyor 2. Uzak MySQL C2: saldırganın MySQL sunucusuna doğrudan bağlanıyor 3. Hedef ağda MySQL sunucu saldırısı -- Azure DevOps + MySQL kombinasyonu → çift C2 kanalı: - Azure DevOps: komut alımı (meşru görünümlü) - MySQL: veri gönderimi (hızlı, şifreli değil ama direkt)
IOC
| SHA256 | cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b5f2 |
|---|---|
| Имя файла | TFG0890000001.exe |
ModiLoader — Профиль вредоносного ПО
ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.
Тип вредоносного ПО
Loader
Язык программирования
Delphi
C2 Протокол
HTTP
Целевые системы
Windows
Технические детали
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Возможности и поведение
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Список IOC (1 индикаторов)
IOC — ModiLoader
# SHA256
cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | cde9ec7999fafb6f1a3b8c5d9e2f7a4b6d0e3c8f1a5b2d9e4c7b3a6f0e1c4d8b |