Skip to content

ilhancvndr/Stealc-Malware-Analysis

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

3 Commits
 
 
 
 

Repository files navigation

Petshop.exe - Stealc Infostealer Technical Analysis Report

Bu depo, Stealc (bilgi hırsızı) ailesine ait Petshop.exe örneği üzerinde gerçekleştirilen kapsamlı statik ve dinamik analiz çalışmalarını içermektedir. Proje, zararlı yazılımın enfeksiyon döngüsünü, anti-analiz tekniklerini ve veri sızdırma mekanizmalarını anlamak amacıyla hazırlanmıştır.

Örnek Bilgileri (Sample Information)

Analiz edilen zararlı yazılım örneğine dair kimlik bilgileri ve MalwareBazaar referansı aşağıdadır:

  • Dosya Adı: Petshop.exe
  • Malware Tipi: InfoStealer (Bilgi Hırsızı)
  • MD5: 01649005C39B68E96038ECF1326F8036
  • SHA256: 8a73b841f8c01a43987ba35ed668896b4787efc87883f5fad1b510be4a96accc
  • MalwareBazaar: Görüntüle

Analiz Özeti

Stage 1: Statik & Dinamik Analiz

  • Paketleme: Zararlı yazılımın .text bölümünün paketlenmiş (packed) olduğu tespit edilmiştir.
  • Geliştirme: Microsoft Visual C++ 8 ile geliştirilmiş 32-bit bir executable dosyadır.
  • Anti-Analiz: Zararlı yazılım, analiz süreçlerini zorlaştırmak için boş parametreli API'ler ve dikkat dağıtıcı kodlar kullanmaktadır.

Stage 2: Stealc Faaliyetleri

  • Anti-Sandbox: Cihaz çekirdek (CPU) sayısı kontrolü (2'den az ise sonlanır) ve VirtualAllocExNuma API'si ile fiziksel CPU varlığı denetlenmektedir.
  • Coğrafi Hedefleme: Kullanıcının varsayılan dil ID'si (LCID) kontrol edilerek sadece belirli bölgelerde (Hırvatça, Slovakça, Türkçe vb.) aktif çalışmaktadır.
  • Şifreleme: Kritik stringler RC4 algoritması ile şifrelenmiştir.
  • RC4 Anahtarı: 5329514621441247975720749009
  • C2 İletişimi: Çalınan veriler HTTP POST istekleri ile http[:]//171.22.28.221/5c06c05b7b34e8e6.php adresine sızdırılmaktadır.

MITRE ATT&CK Matrisi

Zararlı yazılımın sergilediği davranışların MITRE ATT&CK karşılıkları:

Taktik Teknik ID
Discovery System Information Discovery T1082
Defense Evasion Indicator Removal on Host: File Deletion T1070
Credential Access Steal Web Session Cookie T1539
Command and Control Application Layer Protocol: Web Protocols T1071
Exfiltration Exfiltration Over C2 Channel T1041

YARA Kuralları

Tespit edilen bulgular doğrultusunda oluşturulan YARA kurallarına rapor içeriğinden ulaşılabilir.

👥 Hazırlayanlar

Bu çalışma ortaklaşa hazırlanmıştır:


⚠️ Yasal Uyarı: Bu rapor yalnızca eğitim ve siber güvenlik araştırması amaçlıdır. Analiz edilen dosyalar canlı zararlı yazılımlardır ve sadece izole edilmiş sanal ortamlarda çalıştırılmalıdır.

About

Technical analysis report of Stealc Infostealer (Petshop.exe)

Topics

Resources

Stars

4 stars

Watchers

0 watching

Forks

Releases

No releases published

Packages

 
 
 

Contributors