Statik Analiz — DiscordCDNDropper (.NET) | Tehdit: ÉLEVÉ
Fichier Kimliği
| SHA256 | 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229 |
|---|---|
| Taille | 66,560 byte (ZIP 30KB → .NET PE32) |
| Framework | .NET v4.0.30319 |
cdn.discordapp.com/attachments: Dead Drop Payload
DISCORD CDN: Discord dosya paylaşım CDN'i ikinci aşama payload dağıtımı için kullanılıyor!
https://cdn.discordapp.com/attachments/1160855778916319336/1196248399096328242/Jvvlpovxdup.dat?ex=65b6f023&is=65a47b23&hm=... -- Tam URL analizi: Domain: cdn.discordapp.com (Discord içerik dağıtım ağı) Kanal ID: 1160855778916319336 (discord kanal) Mesaj ID: 1196248399096328242 (discord mesajı) Dosya: Jvvlpovxdup.dat (obfuskeli isim — .dat uzantısı AV atlatma) ?ex= : URL imzası (geçici erişim token) -- Discord CDN neden tercih ediliyor: 1. HTTPS: trafik şifreli → AV/firewall göremez içerik 2. Meşru domain: cdn.discordapp.com → whitelist'te 3. Ücretsiz: hesap açılır, dosya yüklenir, silinene kadar kalır 4. Hızlı kurulum: C2 sunucusu gerekmez 5. Tespit zorluğu: CDN trafiği normal internet kullanımı gibi -- "Jvvlpovxdup.dat": obfuskeli payload ismi - .dat uzantısı: .exe veya .dll değil → AV daha az şüphelenir - Muhtemelen şifreli/packed ikinci aşama
injectlast + token + _Token: Enjeksiyon Zinciri
injectlast token _Token RepositoryTokenFilter LoginPredicate CreateDelegate -- "injectlast": enjeksiyon sırasını belirten metod/değişken → enjeksiyon en son adım olarak gerçekleşiyor -- "_Token" + "token": Discord bot token veya auth token → payload indirimek için Discord API auth gerekebilir -- RepositoryTokenFilter: token'ları filtrele/yönet -- LoginPredicate: giriş koşulunu değerlendir -- CreateDelegate: .NET reflection tabanlı dinamik metod çağrısı → AV hook'larını atlatmak için reflection kullanılıyor -- Muhtemel akış: 1. DiscordCDNDropper başlar 2. Discord CDN'den Jvvlpovxdup.dat indir 3. Token ile kimlik doğrula (RepositoryTokenFilter) 4. CreateDelegate → dinamik metod çağrısı (reflection) 5. injectlast → yüklenen payload'ı enjekte et
IOC
| SHA256 | 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229 |
|---|---|
| Dead Drop URL | https://cdn.discordapp.com/attachments/1160855778916319336/1196248399096328242/Jvvlpovxdup.dat |
| Discord Kanal | 1160855778916319336 |
DiscordCDNDropper — Profil du malware
Discord CDN uzerinden payload indiren .NET dropper. Payload Discord attachment olarak depolanir (.dat uzantisiyla gizlenir). CDN URL imzali (gecici erisim). RepositoryTokenFilter, injectlast stringleri.
Type de malware
Loader
Langage de programmation
C#/.NET
Protocole C2
HTTPS/Discord CDN
Systèmes ciblés
Küresel
Capacités et comportement
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Liste IOC (1 indicateurs)
IOC — DiscordCDNDropper
# SHA256
41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229
| Type | Valeur | Note |
|---|---|---|
| sha256 | 41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229 |