Statik Analiz — ObfuscatedNETDropper | Tehdit: MOYEN

Fichier Kimliği

SHA25687053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
Taille605,184 byte (PE32 .NET x86, 3 sections)
Framework.NET v4.0.30319
GUID{1F4B02DF-696E-486A-8B35-F56CCA1C23C6}
Entropi7.182 (probably packed/obfuscated)

Future Timestamp: Anti-Sandbox / Anti-Analiz

GELECEK TARİH: PE timestamp gelecek bir tarih gösteriyor — sandbox tespiti!
PE Timestamp: future time (pescan: "timestamp: future time")

-- Normal PE: derleme zamanı → geçmişte bir tarih
-- Bu binary: gelecekte bir timestamp
-- Amaç:
  1. Sandbox'lar genellikle timestamp kontrolü yapar
  2. "future timestamp" → sandbox uyarısı tetikler
  3. Ancak bu özelliği sahte olarak ayarlamak: analisti yanıltır
  4. Bazı AV motorları timestamp anomalisini makine öğrenimi ile tespit eder
  5. Malware operatörü "statik analizi bozma" amaçlı kullanıyor
-- Tarih değişikliği: PE Optional Header → TimeDateStamp field manipülasyonu
-- Taktik: pek çok modern .NET obfuscator bu özelliği destekler

AesCryptoServiceProvider + RSACryptoServiceProvider

AesCryptoServiceProvider    -- AES simetrik şifreleme
RSACryptoServiceProvider    -- RSA asimetrik şifreleme

-- Hibrit şifreleme modeli (dropper + payload):
  1. RSA: rastgele AES anahtar şifrele (public key ile)
  2. AES: payload veya C2 komutlarını şifrele
  3. RSA şifreli AES key → operatör çözebilir
-- Obfuskatif string listesi (aynı pattern):
  "V5D5djrsaThPDZj8Tau", "A1wRc4LBZ9ynMaRvHC4"
  "LuLZUIuxdUHc2aJ3gr", "Ehs6p1nwKvc2VUcNBI0"
  "PPooX7eh6TNC2EmFUP2", "snntaJPxmwMkW8lvC2e"
  → 20+ karakter rastgele string: şifrelenmiş config veya AES key blokları
-- RSACryptoServiceProvider: .NET System.Security.Cryptography namespace

Efyfqp.exe: Karisman Yeniden Adlandırma

Efyfqp.exe

-- "Efyfqp" = anlamsız, rastgele görünen karakter dizisi
-- Dropped EXE isimleri genellikle:
  1. Rastgele 6-8 harf → AV imza tespitini zorlaştırır
  2. Her kurban için farklı üretilir (dinamik obfuske)
-- Muhtemel bırakma yeri:
  %TEMP%\Efyfqp.exe, %APPDATA%\Efyfqp.exe,
  C:\Users\Public\Efyfqp.exe
-- "Stub.pdb" (624391da batch'inden): Efyfqp.exe'nin Stub olduğunu gösteriyor
  → Dropper ana binary'yi şifreli içinde taşıyor, drop edip çalıştırıyor
-- İki aşama: ObfuscatedNETDropper → Efyfqp.exe (asıl payload)

IOC

SHA25687053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
Drop EXEEfyfqp.exe (random-named payload)
TimestampFuture time (anti-analysis PE trick)
CryptoAES + RSA (.NET CryptoServiceProvider)
GUID{1F4B02DF-696E-486A-8B35-F56CCA1C23C6}

ObfuscatedNETDropper — Profil du malware

.NET 4.0 dropper with heavy obfuscation. Future timestamp anti-analysis. RSA+AES crypto (RSACryptoServiceProvider + AesCryptoServiceProvider). Drops randomly named Efyfqp.exe payload. Long random obfuscated strings. GUID {1F4B02DF-696E-486A-8B35-F56CCA1C23C6}.

Type de malware
Loader
Langage de programmation
C#/.NET
Protocole C2
Unknown
Systèmes ciblés
Küresel

Capacités et comportement

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Liste IOC (1 indicateurs)

IOC — ObfuscatedNETDropper
# SHA256 87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
TypeValeurNote
sha256 87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
Tags
obfuscatedneldropperobfuscated-net-dropperfuture-timestamp-anti-analysis-anti-sandboxaescryptoserviceprovider-rsacryptoserviceprovider-dotnet-cryptoefyfqp-exe-randomly-renamed-dropped-executablelong-random-obfuscated-string-detection-evasionguid-1f4b02df-696e-486a-8b35-f56cca1c23c6net-v40-30319-dotnet-framework-40