Genel Bakis

Bu ornek, autoruns.exe adi tasiyan ancak export tablosunda DUI70.dll kimligini ilan eden 983KB'lik son derece kurnaz bir DLL hijacking aracdir. Windows'un meşru DirectUI70 kutuphanesi olarak kendini gostererek baskasinin yerine yuklenen bu DLL, ?GetPasswordCharacter@Edit@DirectUI@@QEAAHXZ gibi sifre hasati fonksiyonlari icerir. Ayrica RegisterBrowserControls gibi tarayici iliskili kayit fonksiyonlari da bulunmaktadir.

Teknik Analiz

DUI70.dll Kimlik Taklidi

  • Fichier adi: autoruns.exe (Microsoft Autoruns taklidi)
  • Export library adi: DUI70.dll (Windows DirectUI framework)
  • Export fonksiyon: Start (ordinal 1, addr: 0x621c)
  • DUI70.dll export adini deklare ederek DLL hijacking hedef oluyor
  • Yuksek entropi (7.40) — ic yuk sikistirilmis/sifrelenmis

Sifre Hasati Fonksiyonu

?GetPasswordCharacter@Edit@DirectUI@@QEAAHXZ   <- sifre char hasati
?AutomationFocusChangedEvent@Schema@DirectUI@@2HA <- klavye focus izleme
GetKeyboardLayout / GetFocus  <- klavye durumu
RegisterBrowserControls       <- tarayici kontrol kaydettirme

Tarayici Hedefleri (Garbling ile Gizlenmis)

  • fromChrome9September9 — Chrome referansi
  • oHbullshitibChromej2 — obfuske Chrome hedefi
  • boobsrChromeannouncedFirefoxatheofaultedM — obfuske Chrome/Firefox hedefi
  • Bu string'ler, string-based AV tespitinden kacmak icin bozulmus Chrome/Firefox referanslari

DLL Hijacking Aciklamasi

  • Bir uygulama DUI70.dll'yi aradigi zaman, bu dosya uygulama dizininde bulunuyorsa sistem onu yukleme tercih eder (DLL search order hijacking)
  • Bu malware DUI70.dll olarak yeniden adlandirildiginda meşru DUI70.dll yerine yuklenebilir
  • Explorer.exe, svchost.exe ve pek cok Windows uygulamasi DUI70.dll kullanir

Teknik Ozellikler

OzellikValeur
Fichier Adiautoruns.exe (Microsoft Autoruns taklidi)
Export AdiDUI70.dll (DirectUI hijacking)
FormatPE32+ DLL console x86-64
Taille983KB (8 section)
Entropi7.40 (muhtemelen paketlenmis)
TeknikDLL Hijacking (DUI70.dll)
Sifre HasatiGetPasswordCharacter DirectUI

IOC Ozeti

  • Fichier: autoruns.exe (DUI70.dll taklidi)
  • SHA256: 123a833c6ad4fefb0e612a93c8bfb2fda9525414b308f18c9d3ea56a5ea37fff

Liste IOC (1 indicateurs)

IOC — DLL Hijacker
# SHA256 123a833c6ad4fefb0e612a93c8bfb2fda9525414b308f18c9d3ea56a5ea37fff
TypeValeurNote
sha256 123a833c6ad4fefb0e612a93c8bfb2fda9525414b308f18c9d3ea56a5ea37fff
Tags
dll-hijackingdui70autorunsdirectuigetpasswordcharacterstealerpasswordbrowserchromefirefoxexport-spoofingwindows