Manuel Statik Analiz — Black Basta Ransomware | Tehdit: KRITIK
文件 Kimliği
| SHA256 | 65ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2 |
|---|---|
| 文件名 | black-basta_elex.exe |
| 大小 | 488.653 byte |
| String Sayisi | 4.326 |
7-Zip DLL Kullanımı
C:\Program Files\7-Zip\7-zip.dll -- 7-Zip kütüphanesi şifreleme/sıkıştırma işlemi için yüklenir
Şifreli C2 Config
2c2d2, 2c2b2e2e2 -- Şifreli C2 config fragmentleri .files -- Şifreli dosya uzantısı göstergesi
Black Basta Hakkında
Black Basta, 2022'den beri aktif olan hızla yükselen RaaS ailesidir. Conti grubunun dağılmasından sonra ortaya çıkmıştır. Çifte gaspatma (veri hırsızlığı + şifreleme), QakBot ile dağıtım, Cobalt Strike kullanımı. 2024'te ABD CISA/FBI tarafından uyarı yayımlanmıştır. Sağlık sektörünü aktif olarak hedeflemektedir.
IOC
| SHA256 | 65ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2 |
|---|---|
| 7-Zip | C:\Program Files\7-Zip\7-zip.dll |
BlackBasta — 恶意软件档案
Black Basta ransomware grubu loaer/dropper. Microsoft Office Setup Engine (ose.pdb) olarak gizlenir. Global\OfficeSourceEngine64Mutex sahte mutex. Self-modifying .ex_cod section. Minimal import + runtime GetProcAddress API cozme. WinHttp C2. Token manipulasyonu.
恶意软件类型
Ransomware
编程语言
C++
C2协议
—
目标系统
Windows/Linux
能力与行为
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC列表 (1 个指标)
IOC — BlackBasta
# SHA256
65ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 65ca7ba84aab380fb0df33d8b4869132c6640bcec3f2a5d8e1b7c4f9a0e3b6d2 |
C2服务器 (该家族共有 1 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| aazsbsgya565vlu2c6bzy6yfiebkcbtvvcytvolt33s77xypi7nypxyd.onion | domain | 443 | — | inactive | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。