Bu depo, Stealc (bilgi hırsızı) ailesine ait Petshop.exe örneği üzerinde gerçekleştirilen kapsamlı statik ve dinamik analiz çalışmalarını içermektedir. Proje, zararlı yazılımın enfeksiyon döngüsünü, anti-analiz tekniklerini ve veri sızdırma mekanizmalarını anlamak amacıyla hazırlanmıştır.
Analiz edilen zararlı yazılım örneğine dair kimlik bilgileri ve MalwareBazaar referansı aşağıdadır:
- Dosya Adı:
Petshop.exe - Malware Tipi: InfoStealer (Bilgi Hırsızı)
- MD5:
01649005C39B68E96038ECF1326F8036 - SHA256:
8a73b841f8c01a43987ba35ed668896b4787efc87883f5fad1b510be4a96accc - MalwareBazaar: Görüntüle
- Paketleme: Zararlı yazılımın
.textbölümünün paketlenmiş (packed) olduğu tespit edilmiştir. - Geliştirme: Microsoft Visual C++ 8 ile geliştirilmiş 32-bit bir executable dosyadır.
- Anti-Analiz: Zararlı yazılım, analiz süreçlerini zorlaştırmak için boş parametreli API'ler ve dikkat dağıtıcı kodlar kullanmaktadır.
- Anti-Sandbox: Cihaz çekirdek (CPU) sayısı kontrolü (2'den az ise sonlanır) ve
VirtualAllocExNumaAPI'si ile fiziksel CPU varlığı denetlenmektedir. - Coğrafi Hedefleme: Kullanıcının varsayılan dil ID'si (LCID) kontrol edilerek sadece belirli bölgelerde (Hırvatça, Slovakça, Türkçe vb.) aktif çalışmaktadır.
- Şifreleme: Kritik stringler RC4 algoritması ile şifrelenmiştir.
- RC4 Anahtarı:
5329514621441247975720749009 - C2 İletişimi: Çalınan veriler HTTP POST istekleri ile
http[:]//171.22.28.221/5c06c05b7b34e8e6.phpadresine sızdırılmaktadır.
Zararlı yazılımın sergilediği davranışların MITRE ATT&CK karşılıkları:
| Taktik | Teknik | ID |
|---|---|---|
| Discovery | System Information Discovery | T1082 |
| Defense Evasion | Indicator Removal on Host: File Deletion | T1070 |
| Credential Access | Steal Web Session Cookie | T1539 |
| Command and Control | Application Layer Protocol: Web Protocols | T1071 |
| Exfiltration | Exfiltration Over C2 Channel | T1041 |
Tespit edilen bulgular doğrultusunda oluşturulan YARA kurallarına rapor içeriğinden ulaşılabilir.
Bu çalışma ortaklaşa hazırlanmıştır: