Genel Bakış
Bu örnek, Stub.exe adıyla derlenen küçük (49KB) bir .NET AES Kripto Stub'dır. Şifreli payload'ı AES ile çözen, TLS sertifikası pinleme kullanan ve registry temizliği yapan bir loader/injector bileşenidir. Hardcoded Base64 anahtarları ile RSA benzeri şifreli string'ler içermektedir.
Teknik Analiz
AES Şifreleme Bileşenleri
GenerateIV— rastgele IV oluşturmaset_KeySize— AES anahtar boyutu ayarlamaCryptoStreamMode— şifreli veri akışıCryptoConfig— kriptografi yapılandırması
Hardcoded Şifreli Valorler
ZUxXbTlDeTg4T1lrWFRSWkY1S3duVmpybjhvRHRpTmo=
WNII35aGizDbWBxot3rOKucSZKdvGOm7YDhOc9RWVWeWXtg7g8j/jHUszHJlrczKoy6q...
VKGE1m5Dm132LELBmFUNF7bZWvLDWquo1xcjHuqNJHOx2nMZ11ntdqZ2VoETWtsFozm...
- Birden fazla RSA boyutunda Base64 şifreli değer (büyük olasılıkla gömülü şifreli C2 config veya payload)
TLS Sertifika Pinleme
RemoteCertificateValidationCallback— TLS doğrulama özelleştirmeX509Certificate2,X509Chain,X509CertificateCollection- Bu teknik, C2 sunucusunun sahte sertifikalarla izlenmesini engeller (MITM bypass)
Temizlik Operasyonları
DeleteSubKeyTree— registry key ağacını tamamen siler (iz bırakmama)get_UserName— kullanıcı adı sorgulama (hedef tespiti)
Teknik Propiedadler
| Propiedad | Valor |
|---|---|
| Platform | .NET 4.0.30319 |
| Tamaño | 49.664 bayt |
| Şifreleme | AES (GenerateIV + CryptoStream) |
| TLS Pinleme | X509Certificate2 + RemoteCertificateValidationCallback |
| Temizlik | DeleteSubKeyTree (registry) |
IOC Özeti
- Dahili Ad: Stub.exe
- SHA256:
a427fc9bc7a54e7ce1e2cfb94d80c2857f40df94b3bdb2afd72e60abf50fa632
Lista IOC (1 indicadores)
IOC — AES Loader Stub
# SHA256
a427fc9bc7a54e7ce1e2cfb94d80c2857f40df94b3bdb2afd72e60abf50fa632
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | a427fc9bc7a54e7ce1e2cfb94d80c2857f40df94b3bdb2afd72e60abf50fa632 |