Manuel Statik Analiz — Matanbuchus Loader | Tehdit: YUKSEK
Arquivo Kimliği
| SHA256 | 77a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Tamanho | 1.229.312 byte (1.2MB, DLL) |
| String Sayisi | 4.295 |
Session key sent: Özel Kripto El Sıkışma
C2 PROTOKOL: Oturum anahtarı iletimi!
Session key sent b[...] -- "Session key sent" = oturum anahtarı gönderildi (log mesajı) -- Matanbuchus özel C2 protokolü: -- 1) Bağlan C2'ye -- 2) Oturum anahtarı üret (session key) -- 3) C2'ye gönder → şifreli kanal kuruldu -- 4) Log: "Session key sent" → bağlantı onaylandı -- Özel TLS yerine kendi kripto protokolü: NSS kütüphanesi
no malloc support: C Runtime Mesajı
no malloc support -- "malloc" = C standart kütüphane bellek tahsisi -- "no malloc support" = malloc desteklenmiyor hatası -- Windows DLL'de garip: Matanbuchus POSIX-uyumlu kütüphane gömüyor -- Veya: custom allocator ile malloc'u devre dışı bırakmış -- Bellek yönetimi: heap tracking'i engellemek için
IOC
| SHA256 | 77a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Protokol | Özel kripto el sıkışma (Session key) |
Matanbuchus — Perfil do malware
Matanbuchus loader. Session key özel kripto el sikisma. no malloc support C runtime. CreateMutexW.
Tipo de malware
Loader
Linguagem de programação
C++
Protocolo C2
HTTPS
Sistemas-alvo
Windows
Detalhes técnicos
Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri
Capacidades e comportamento
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Lista IOC (1 indicadores)
IOC — Matanbuchus
# SHA256
77a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 77a53dc757fdf3811229312b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |