Derin Statik Analiz — VBS Dropper (Çift Uzantı) | Tehdit: YUKSEK

Файл Kimliği

SHA2561aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3
Имя файлаINVOICE-7141.JPEG.vbs (Çift uzantı: .JPEG görünümü, .vbs gerçek tür)
Размер459 KB (VBScript)

INVOICE-7141.JPEG.vbs: Çift Uzantı Sosyal Mühendislik

INVOICE-7141.JPEG.vbs
-- Kullanıcı görür: "INVOICE-7141.JPEG" → fatura JPEG resmi sanıyor
-- Gerçek uzantı: .vbs → VBScript (tehlikeli!)
-- Windows Explorer: uzantı gizleme açıkken ".vbs" gözükmez
  - Dosya simgesi: JPEG ikonu gösterilmesi için ayarlanabilir
-- E-posta: "faturanız ekte JPEG formatında" → tıkla → WScript çalışır
-- Çift uzantı tekniği: en eski ve hâlâ en etkili sosyal mühendislik

39d30cfe5d033f4342c289362d.ru: C2 Hex Subdomain

C2 DOMAIN: Hex görünümlü subdomain + .ru TLD = yüksek güvenilirlikle C2!
39d30cfe5d033f4342c289362d.ru
-- Subdomain: "39d30cfe5d033f4342c289362d" (26 hex karakter)
-- 26 hex karakter: olası MD5 hash kısaltması (MD5 = 32 hex)
-- Kısa MD5 subdomain: her kurban/kampanya için farklı subdomain (DGA benzeri)
-- .ru TLD: Rusya kayıtlı alan adı
-- VBS dropper → bu domain → ikincil payload indiriyor
-- "39d30cfe5d..." : orijinal hex değeri → kurban/kampanya tanımlayıcısı olabilir

StrReverse + certutil Decode: Ters Komut Obfuskasyonu

-- Komut tersine çevrilmiş halde saklanıyor:
   " edoced- litutrec" → StrReverse() → "certutil -decode"
-- certutil: Windows dahili araç (beyaz liste bypass!)
  - certutil -decode: base64 veya DER formatını çözer
  - Living off the land: sistem aracını payload çözme için kullan
-- COM nesneleri obfuskasyonu:
   SCripTing.fIlESysTemoBJecT → Scripting.FileSystemObject
   WSCRIpt.sHeLL              → WScript.Shell
-- Büyük/küçük harf karıştırma: COM late-binding case-insensitive

%TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe: Drop Yolu

%TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe
-- "s" prefix + 39 hex karakter = hash tabanlı dosya adı
-- %TEMP% klasörü: kullanıcı yazma izni var, güvenli analiz alanı değil
-- Ara blob dosyası:
   %TEMP%\G97798c82ee8e889c30f8a7 → certutil decode → ikincil PE
-- Tam zincir:
   1. INVOICE-7141.JPEG.vbs çalıştır
   2. certutil ile base64 çöz → s53a4a2b43e0fe695...exe oluştur
   3. Payload çalıştır → C2'ye bağlan: 39d30cfe5d033f4342c289362d.ru

IOC

SHA2561aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3
C2 Domain39d30cfe5d033f4342c289362d.ru
Drop Path%TEMP%\s53a4a2b43e0fe695c72d119dfbb986a73c3b57.exe

VBSDropper — Профиль вредоносного ПО

VBScript dropper. INVOICE.JPEG.vbs double extension. 39d30cfe5d033f4342c289362d.ru hex subdomain C2. StrReverse certutil decode. TEMP drop path.

Тип вредоносного ПО
Loader
Язык программирования
VBScript
C2 Протокол
HTTP
Целевые системы
Küresel

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (1 индикаторов)

IOC — VBSDropper
# SHA256 1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3
ТипЗначениеПримечание
sha256 1aa3321c7e05114a5e58a78fdd743d46e32b09769ee53b487bd0c3a6193386e3
Теги
vbsdroppervbs-dropperinvoice-7141-jpeg-vbs-double-extension-hiding39d30cfe5d033f4342c289362d-ru-c2-hex-subdomainstrreverse-reversed-command-obfuscationcertutil-decode-dropper-chains53a4a2b43e0fe695-exe-drop-path-tempwscript-shell-activex-obfuscated-com