Derin PE Analizi — SMBWorm (LBB_pass.bin) | Tehdit: CRÍTICO
Archivo Kimliği
| SHA256 | 183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334 |
|---|---|
| Nombre de archivo | LBB_pass.bin ("LBB" = muhtemelen kampanya kodu, "pass" = parola hırsızı) |
| Tipo | PE32 executable (GUI) Intel 80386, 3 sections |
| Entropi | 7.99 (maksimum packing — neredeyse şifrelenmiş) |
| String Sayısı | 1,169 (çok az — ağır obfuskasyon) |
NetShareEnum + WNetGetConnectionW: SMB Lateral Movement
SMB YAYILMA: Ağ paylaşımlarını tarayarak yayılan solucan davranışı!
NETAPI32.dll → NetShareEnum
MPR.dll → WNetGetConnectionW
-- NetShareEnum(serverName, level, bufptr, maxlen, entriesread, totalentries, resume)
- Hedef sunucudaki tüm paylaşımları listeler (C$, D$, ADMIN$, özel paylaşımlar)
- Admin paylaşımları da dahil
- Lateral movement için kullanım:
1. Ağdaki diğer makineleri keşfet (ICMP ping ile)
2. Her makine için NetShareEnum çalıştır
3. Yazılabilir paylaşımları tespit et
4. Kendini kopyala → otomatik çalıştırma mekanizması ekle
-- WNetGetConnectionW(lpLocalName, lpRemoteName, lpnLength)
- Mevcut ağ bağlantılarını (mapped drive) tespit eder
- C:, D: → \\server\share bağlantısını öğrenir
- Zaten bağlı ağ sürücülerinden yayılır
-- Bu kombinasyon: NotPetya, WannaCry, EternalBlue sonrası solucanların standart tekniği
IcmpSendEcho: ICMP Ağ Tarama
IPHLPAPI.DLL → IcmpSendEcho -- ICMP ping paketi gönder → yanıt gelirse makine aktif -- Ağ tarama akışı: 1. Mevcut IP adresini al → /24 subnet'i hesapla 2. Her IP'ye IcmpSendEcho → aktif makineleri listele 3. Aktif makinelere NetShareEnum → paylaşımları listele 4. Yazılabilir paylaşıma kopyalan -- Neden ICMP tercih ediliyor: - Hız: ping → yanıt < 1ms local ağda - Gizlilik: port tarama yerine ping → daha az gürültü - Windows dahili API: harici araç gerekmez
CryptStringToBinaryA: Çalışma Zamanında C2 Adresi Çözme
CRYPT32.dll → CryptStringToBinaryA -- Base64 veya hex string'i binary veriye dönüştürür -- Kullanım: hardcoded C2 adresi şifreli → çalışma zamanında çözme CRYPT_STRING_BASE64 = 1 → Base64'ten binary'ye CRYPT_STRING_HEX = 4 → Hex'ten binary'ye -- Neden statik analiz zor: - C2 adresi ikili dosyada şifreli görünür - "C2hzY", "ZXC2=" gibi Base64 parçaları → decoded: C2 adresi - Strings analizi ile çözülemiyor → dinamik analiz gerekiyor - DLL'ler: WS2_32.dll dinamik yükleniyor → hooklama zor
CoGetObject + VirtualProtect: UAC Bypass + Shellcode
ole32.dll → CoGetObject
-- COM Moniker UAC bypass tekniği:
CoGetObject("Elevation:Administrator!new:{guid}", ...) → UAC prompt'suz yüksek ayrıcalık
- Windows Installer UAC bypass vektörü
- "Elevation Moniker" tekniği
VirtualProtect(addr, size, PAGE_EXECUTE_READWRITE, &oldprot)
-- Belleği çalıştırılabilir yap → shellcode çalıştırma
-- Akış: CryptStringToBinaryA → shellcode çözüldü → VirtualProtect → çalıştır
-- TLS callback (1 fonksiyon): anti-debug başlatma
- TLS = Thread Local Storage: main() öncesinde çalışır
- IsDebuggerPresent / anti-debug kod → debug ortamında farklı davranır
-- .data section: zero length
- Packing artifact: tüm data çalışma zamanında belirir
- Unpacker stub: sıkıştırılmış payload'ı açar → bellekte çalıştırır
IOC
| SHA256 | 183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334 |
|---|---|
| Entropi | 7.99 (max) |
| Lateral Movement | NetShareEnum + WNetGetConnectionW + IcmpSendEcho |
| UAC Bypass | CoGetObject (COM Elevation Moniker) |
SMBWorm — Perfil del malware
SMB worm with lateral movement. NetShareEnum + WNetGetConnectionW for SMB share enumeration. IcmpSendEcho for network host discovery. CryptStringToBinaryA for Base64 C2 address decoding. CoGetObject COM UAC bypass. Entropy 7.99 maximum packing.
Tipo de malware
Botnet
Lenguaje de programación
C
Protocolo C2
TCP/SMB
Sistemas objetivo
Küresel
Capacidades y comportamiento
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
Lista IOC (1 indicadores)
IOC — SMBWorm
# SHA256
183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 183e9d0d23ee006d5172ba32d0237b853adf1ed98bc318dc5ee5e1f8fb62b334 |