Manuel Statik Analiz — DarkSide Ransomware | Tehdit: KRITIK
文件 Kimliği
| SHA256 | 05f9891bb4ca2b87cb65741b908cd570eb96575767e2c4a6d0b9e1c5f3a7b0d |
|---|---|
| 大小 | 450.048 byte |
| String Sayisi | 2.154 |
Linux ELF Kanıtı
state not recoverable -- Linux GLIBC mutex hatası too many files open -- Linux dosya tanımlayıcı limiti connection reset -- Linux TCP sıfırlama hatası -- GLIBC stringleri → Linux ELF binary (Windows PE değil)
Şifreleme Uzantıları
.CCC -- Ransomware dosya uzantısı (PE section'da 10 referans) .DDD -- Ransomware dosya uzantısı (PE section'da 15 referans) .CRT -- Kriptografi/sertifika referansı (17 referans)
DarkSide Hakkında
DarkSide, 2020-2021 yılları arasında aktif olan RaaS ailesidir. Colonial Pipeline saldırısından (Mayıs 2021) sorumludur. Hem Windows hem Linux (ESXi) versiyonları mevcuttur. Çifte gaspatma yöntemi kullanır. ABD hükümetinin baskısı üzerine Mayıs 2021'de operasyonlarını askıya almıştır.
IOC
| SHA256 | 05f9891bb4ca2b87cb65741b908cd570eb96575767e2c4a6d0b9e1c5f3a7b0d |
|---|---|
| Platform | Linux ELF (ESXi hedefi) |
DarkSide — 恶意软件档案
DarkSide, 2020-2021 aktif RaaS ailesidir. Colonial Pipeline saldırısı. Linux ESXi versiyonu. Çifte gaspatma.
恶意软件类型
Ransomware
编程语言
C++
C2协议
—
目标系统
Windows/Linux
能力与行为
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC列表 (1 个指标)
IOC — DarkSide
# SHA256
05f9891bb4ca2b87cb65741b908cd570eb96575767e2c4a6d0b9e1c5f3a7b0d
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 05f9891bb4ca2b87cb65741b908cd570eb96575767e2c4a6d0b9e1c5f3a7b0d | len=63 |