Derin PE Analizi — SMBWorm (LBB_pass.bin) | Tehdit: CRÍTICO

Archivo Kimliği

SHA256183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334
Nombre de archivoLBB_pass.bin ("LBB" = muhtemelen kampanya kodu, "pass" = parola hırsızı)
TipoPE32 executable (GUI) Intel 80386, 3 sections
Entropi7.99 (maksimum packing — neredeyse şifrelenmiş)
String Sayısı1,169 (çok az — ağır obfuskasyon)

NetShareEnum + WNetGetConnectionW: SMB Lateral Movement

SMB YAYILMA: Ağ paylaşımlarını tarayarak yayılan solucan davranışı!
NETAPI32.dll → NetShareEnum
MPR.dll → WNetGetConnectionW

-- NetShareEnum(serverName, level, bufptr, maxlen, entriesread, totalentries, resume)
  - Hedef sunucudaki tüm paylaşımları listeler (C$, D$, ADMIN$, özel paylaşımlar)
  - Admin paylaşımları da dahil
  - Lateral movement için kullanım:
    1. Ağdaki diğer makineleri keşfet (ICMP ping ile)
    2. Her makine için NetShareEnum çalıştır
    3. Yazılabilir paylaşımları tespit et
    4. Kendini kopyala → otomatik çalıştırma mekanizması ekle

-- WNetGetConnectionW(lpLocalName, lpRemoteName, lpnLength)
  - Mevcut ağ bağlantılarını (mapped drive) tespit eder
  - C:, D: → \\server\share bağlantısını öğrenir
  - Zaten bağlı ağ sürücülerinden yayılır

-- Bu kombinasyon: NotPetya, WannaCry, EternalBlue sonrası solucanların standart tekniği

IcmpSendEcho: ICMP Ağ Tarama

IPHLPAPI.DLL → IcmpSendEcho
-- ICMP ping paketi gönder → yanıt gelirse makine aktif
-- Ağ tarama akışı:
  1. Mevcut IP adresini al → /24 subnet'i hesapla
  2. Her IP'ye IcmpSendEcho → aktif makineleri listele
  3. Aktif makinelere NetShareEnum → paylaşımları listele
  4. Yazılabilir paylaşıma kopyalan

-- Neden ICMP tercih ediliyor:
  - Hız: ping → yanıt < 1ms local ağda
  - Gizlilik: port tarama yerine ping → daha az gürültü
  - Windows dahili API: harici araç gerekmez

CryptStringToBinaryA: Çalışma Zamanında C2 Adresi Çözme

CRYPT32.dll → CryptStringToBinaryA
-- Base64 veya hex string'i binary veriye dönüştürür
-- Kullanım: hardcoded C2 adresi şifreli → çalışma zamanında çözme
  CRYPT_STRING_BASE64 = 1 → Base64'ten binary'ye
  CRYPT_STRING_HEX = 4 → Hex'ten binary'ye

-- Neden statik analiz zor:
  - C2 adresi ikili dosyada şifreli görünür
  - "C2hzY", "ZXC2=" gibi Base64 parçaları → decoded: C2 adresi
  - Strings analizi ile çözülemiyor → dinamik analiz gerekiyor
  - DLL'ler: WS2_32.dll dinamik yükleniyor → hooklama zor

CoGetObject + VirtualProtect: UAC Bypass + Shellcode

ole32.dll → CoGetObject
-- COM Moniker UAC bypass tekniği:
  CoGetObject("Elevation:Administrator!new:{guid}", ...) → UAC prompt'suz yüksek ayrıcalık
  - Windows Installer UAC bypass vektörü
  - "Elevation Moniker" tekniği

VirtualProtect(addr, size, PAGE_EXECUTE_READWRITE, &oldprot)
-- Belleği çalıştırılabilir yap → shellcode çalıştırma
-- Akış: CryptStringToBinaryA → shellcode çözüldü → VirtualProtect → çalıştır

-- TLS callback (1 fonksiyon): anti-debug başlatma
  - TLS = Thread Local Storage: main() öncesinde çalışır
  - IsDebuggerPresent / anti-debug kod → debug ortamında farklı davranır

-- .data section: zero length
  - Packing artifact: tüm data çalışma zamanında belirir
  - Unpacker stub: sıkıştırılmış payload'ı açar → bellekte çalıştırır

IOC

SHA256183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334
Entropi7.99 (max)
Lateral MovementNetShareEnum + WNetGetConnectionW + IcmpSendEcho
UAC BypassCoGetObject (COM Elevation Moniker)

SMBWorm — Perfil del malware

SMB worm with lateral movement. NetShareEnum + WNetGetConnectionW for SMB share enumeration. IcmpSendEcho for network host discovery. CryptStringToBinaryA for Base64 C2 address decoding. CoGetObject COM UAC bypass. Entropy 7.99 maximum packing.

Tipo de malware
Botnet
Lenguaje de programación
C
Protocolo C2
TCP/SMB
Sistemas objetivo
Küresel

Capacidades y comportamiento

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

Lista IOC (1 indicadores)

IOC — SMBWorm
# SHA256 183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334
TipoValorNota
sha256 183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334
Etiquetas
smbwormsmb-wormlbb-pass-binnetshareenum-wnetgetconnectionw-smb-share-enumeration-lateral-movementicmpsendecho-icmp-ping-host-discovery-network-scancryptstringtobinarya-base64-c2-address-runtime-decodeentropy-7-99-maximum-packing-near-encryptedcogetobject-com-uac-bypass-privilege-escalationvirtualprotect-shellcode-executionloadlibrarya-getprocaddress-dynamic-api-resolutiontls-callback-anti-debug-initializationself-modifying-data-section-zero-length-unpacker