Statik Analiz — NETDropper (Facturaelectriccorrespo) | Tehdit: 高
文件 Kimliği
| SHA256 | 0b3236531c608af3cdb33b3f09ab0d5bbd61f67cc341faa92c1c2cb2258bd409 |
|---|---|
| 文件名 | Facturaelectriccorrespo (ZIP 948KB → .NET PE 1,005,056 byte) |
| 类型 | ZIP → PE32 .NET executable (mscoree.dll → _CorExeMain) |
| Entropi | 7.90 (en yüksek bu örnekte — neredeyse şifreli) |
| Import | Yalnızca mscoree.dll (tek import = pure .NET) |
"Factura" Kurbansal Lür
"Facturaelectriccorrespo" = "Factura" (İspanyolca: fatura) + "electriccorrespondence" -- İspanyolca fatura yazışma lürü -- Hedef bölge: Latin Amerika veya İspanya -- Teslimat: E-posta eki (ZIP dosyası → zararsız görünüm) -- Açma sonrası: .NET dropper çalışır -- Sosyal mühendislik: "Elektrik faturası yazışması" → kurban açar
XZvu.exe: Gömülü PE Payload
PAYLOAD: .NET dropper içinde XZvu.exe adlı yürütülebilir gizli!
XZvu.exe (x3 görünüm — embedded executable)
-- "XZvu": obfuskeli rastgele isim
-- .NET Resource içinde saklanmış → çalışma zamanında çıkarılır
System.Resources.ResourceManager.GetObject("XZvu")
→ byte[] → File.WriteAllBytes(tempPath + "XZvu.exe", bytes)
→ Process.Start("XZvu.exe")
-- Gömülü PE'nin içeriği: yüksek entropi nedeniyle statik analiz edilemiyor
Olası içerik: AgentTesla, AsyncRAT, FormBook, LokiBot veya özel RAT
-- System.Drawing.Bitmap: imaj içinde payload gizlenmiş olabilir (steganografi)
TAes!: AES Şifreleme Kanıtı
"TAes!" string parçası
-- .NET'te AES sınıfı: System.Security.Cryptography.Aes
-- "TAes!" = AES kullanımını gizleyen obfuskeli referans
-- Olası kullanım:
1. XZvu.exe payload'ı AES ile şifreli kaynakta saklanmış
2. C2 iletişimi AES şifreli
3. Konfigürasyon bloğu AES ile korumalı
-- Entropi 7.90 + AES referansı: tüm payload şifreli kaynakta saklanmış
-- .NET'te standart pattern:
using Aes aes = Aes.Create();
aes.Key = Convert.FromBase64String(hardcodedKey);
aes.IV = Convert.FromBase64String(hardcodedIV);
byte[] decrypted = aes.DecryptCbc(encryptedPayload, aes.IV);
File.WriteAllBytes("XZvu.exe", decrypted);
IOC
| SHA256 | 0b3236531c608af3cdb33b3f09ab0d5bbd61f67cc341faa92c1c2cb2258bd409 |
|---|---|
| Gömülü PE | XZvu.exe |
| Şifreleme | AES (TAes! referansı) |
| Entropi | 7.90 |
NETDropper — 恶意软件档案
.NET dropper using Spanish invoice lure (Factura). Drops XZvu.exe embedded PE payload. AES encryption (TAes! reference). Entropy 7.90 maximum packing. Pure .NET binary (single import mscoree.dll). System.Drawing.Bitmap image manipulation.
恶意软件类型
Loader
编程语言
C#/.NET
C2协议
HTTPS
目标系统
Latin Amerika/İspanya
能力与行为
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
IOC列表 (1 个指标)
IOC — NETDropper
# SHA256
0b3236531c608af3cdb33b3f09ab0d5bbd61f67cc341faa92c1c2cb2258bd409
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 0b3236531c608af3cdb33b3f09ab0d5bbd61f67cc341faa92c1c2cb2258bd409 |