Manuel Statik Analiz — Meduza Stealer | Tehdit: YUKSEK
文件 Kimliği
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 文件名 | RUN.exe (çalıştır/başlat) |
| 大小 | 1.549.312 byte (1.48MB) |
| String Sayisi | 21.296 |
Beş C2 Substring
C2 KALIPLAR:
@c2/$ -- @ prefix + c2 + dolar işareti 9&!c2 -- rakam + & + ünlem + c2 >.T^1C2$i -- büyük ok + T ^ 1 C2 $ i &lT^1C2$Q -- & l T ^ 1 C2 $ Q 8U,c2< -- 8 U virgül c2 küçük ok
Çift NT API Anti-Debug
NtQuerySystemInformation -- Sistem bilgisi sorgusu (VM/debug tespiti) NtQueryInformationProcess -- Process bilgisi sorgusu (debug port kontrolü) -- Her ikisi NT API: Windows NT yerel (native) API -- NtQuerySystemInformation: sistemde kaç çekirdek? Bellek boyutu? → Sandbox'ta düşük bellek/tek çekirdek → atla! -- NtQueryInformationProcess: ProcessDebugPort = 0 değilse debugger var! -- Meduza: bu iki kontrolü birlikte yapar → çift doğrulama
IOC
| SHA256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|
MeduzaStealer — 恶意软件档案
Meduza Stealer Rus C++ stealer. RUN.exe. NtQuery cift anti-debug. MinGW derlenmiş.
恶意软件类型
Infostealer
编程语言
C#/.NET
C2协议
HTTP/TLS
目标系统
Kuresel — Oyun/Kripto Topluluklari
能力与行为
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC列表 (1 个指标)
IOC — MeduzaStealer
# SHA256
7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 7c2f43b18bb5f18c1549312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |