Manuel Statik Analiz — PrivateLoader | Tehdit:

文件 Kimliği

SHA256ea096956563a3948401920b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
文件名sysmon.exe (SAHTE Sysinternals System Monitor!)
大小401.920 byte (393KB)
String Sayisi2.599

sysmon.exe: Sahte Microsoft Sysinternals System Monitor

KAMUFLAJ: Meşru güvenlik aracı olarak görünüyor!
sysmon.exe
-- "Sysmon" = Microsoft Sysinternals System Monitor
  - Orijinal Sysmon: Windows sistem aktivitelerini izleyen güvenlik aracı
  - SOC ekipleri ve siber güvenlik uzmanları tarafından kullanılır
-- PrivateLoader: kendini Sysmon olarak gizliyor!
  - Güvenlik çalışanı "Sysmon yükledim" sanıyor
  - IT yöneticisi kurulum onayı veriyor
-- SmokeLoader2 (batch 84): "autoruns.exe" (aynı Sysinternals taklidi pattern!)
  - autoruns.exe + sysmon.exe = SysInternals araçları hedef alınıyor
  - Güvenlik ekipleri bu araçları güveniyor → daha az şüphe

cJSON_Version: C JSON Kütüphanesi

cJSON_Version
version error
-- cJSON: hafif açık kaynak C JSON parsing kütüphanesi
-- "cJSON_Version" = cJSON sürüm kontrolü fonksiyonu
-- PrivateLoader: C/C++ ile yazılmış, cJSON ile C2 JSON iletişimi yapıyor
-- "version error" = C2 protokol versiyon uyumsuzluğu hatası
-- cJSON kullanımı: PrivateLoader'ın karakteristik teknik imzası

chrome + chrome.dll: Tarayıcı Hedefleme

chrome
chrome.dll
-- Chrome executable hedef (Chrome şifrelerini çalmak için)
-- "chrome.dll" = Chrome DLL enjeksiyon hedefi
-- PrivateLoader: ilk aşama yükleyici → chrome.dll ile Chrome'a enjekte eder

IOC

SHA256ea096956563a3948401920b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Kamuflajsysmon.exe (Sahte Sysinternals)

PrivateLoader — 恶意软件档案

PrivateLoader/PrivateLdr. sysmon.exe Sysinternals fake. cJSON C library. Chrome browser targeting.

恶意软件类型
Loader
编程语言
C++
C2协议
HTTP
目标系统
Windows

技术细节

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

能力与行为

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

IOC列表 (1 个指标)

IOC — PrivateLoader
# SHA256 ea096956563a3948401920b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
类型备注
sha256 ea096956563a3948401920b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0

C2服务器 (该家族共有 4 台已记录服务器)

地址 类型 端口 协议 状态 国家
45.142.213.167 ip 80 HTTP inactive RU
87.251.64.160 ip 80 HTTP inactive NL
known2.me domain 443 HTTPS inactive —
45.138.74.63 ip 443 HTTPS sinkholed RU

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
privateloaderprivate-loadersysmon-exe-fake-sysinternals-sysmoncjson-version-c-json-librarychrome-dll-browser-targetingisdebuggerpresent-double-anti-debuggetcommandline