🧾 Kötü Amaçlı Yazılım / Stealer Analiz Raporu
Analiz Tarihi: 2025-08-16
Analist: NullSans
Payload Adı: FightSouls.exe
Düşürüldüğü Konum: C:\Users\Admin\AppData\Local\Temp\
🧾 Kötü Amaçlı Yazılım / Stealer Analiz Raporu
Analiz Tarihi: 2025-08-16
Analist: NullSans
Payload Adı: FightSouls.exe
Düşürüldüğü Konum: C:\Users\Admin\AppData\Local\Temp\
1️⃣ Sistem Keşfi & Parmak İzi Alma
Dinamik derleme kullanılarak payload oluşturuluyor (.bat → .exe), bu sayede ekran görüntüsü alma veya kimlik bilgisi çalma işlevleri eklenebiliyor.
| Kayıt Defteri / API | Toplanan Veri | Amaç / Kullanım | Örnek / Detay |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MachineGuid | Benzersiz sistem ID | Parmak izi alma, C2 raporlama, sandbox tespiti | REG QUERY ... /v MachineGuid |
| HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | Sistem dili | Hedef ülke tespiti | İşletim sistemi dili okuma |
| HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS | BIOS marka/model | Exploit uyumluluğu | Sistem üreticisi/modeli |
| HKEY_CURRENT_USER\Software\Microsoft\Cryptography\TPM\Telemetry | TraceTimeLast | Kötü amaçlı yazılım tetikleme, gizlilik davranışı | FILETIME: 2025-08-12 13:08:07.527515 |
2️⃣ Payload Çalıştırma & Kılık Değiştirme
Temp Klasörü Kullanımı:
Payload: StealIt_7cbb4a36346659e3.exe
Yazılabilir, yeniden başlatma sonrası silinebilir, AV taramalarını atlatabilir
Dinamik Derleme Komut Zinciri
| Komut | Amaç |
|---|---|
| csc.exe /nologo /r:Microsoft.VisualBasic.dll /out:screenCapture_1.3.2.exe script.bat | BAT → EXE derle, payload oluştur |
| cvtres.exe /out:RES29BB.tmp ... | Geçici kaynak derleme, ekran görüntüsü alma payload’ı |
Gizlilik / Kılık Değiştirme Komutu
FightSouls.exe --type=gpu-process --disable-gpu-sandbox --user-data-dir="C:\Users\Admin\AppData\Roaming\fightsouls" ...
Chrome/Chromium süreci gibi görünerek AV ve kullanıcıya karşı gizleniyor.
user-data-dir çalınan veriler / konfigürasyon için ayrılıyor
Tarayıcı Sonlandırma Komutları
taskkill /F /IM chrome.exe taskkill /F /IM msedge.exe taskkill /F /IM brave.exe taskkill /F /IM firefox.exe
Amaç: SQLite DB kilitlerini serbest bırakmak, kimlik bilgilerini almak.
3️⃣ Proses Enjeksiyonu / Token Çalma
| Proses | Amaç / Kullanım | Notlar |
|---|---|---|
| chrome.exe | Kod enjeksiyonu / kimlik bilgisi toplama | Kayıt defteri arkasında çalıştırma |
| lsass.exe | Token çalma / kimlik bilgisi dökümü | SYSTEM token kullanımı olası |
| winlogon.exe | Kimlik bilgisi erişimi / token kullanımı | Tarayıcı & pano bilgisi toplama |
| csrss.exe | GUI alt sistemi manipülasyonu / gizlilik / keylogger / ekran görüntüsü | Düşük AV/EDR müdahalesi |
| services.exe | Proses enjeksiyonu / token manipülasyonu | WinAPI kullanımı gözlenmedi |
| svchost.exe | Sistem bilgisi toplama / servis kılığına girme | C2 hazırlığı için LocalServiceNetworkRestricted |
| sihost.exe | Token bekletme / gizlilik | Ayrıcalıklı token denemeleri |
| dllhost.exe | COM / kod çalıştırma | COM callback veya obje enjeksiyonu |
| SppExtComObj.exe | Aktivasyon servisi kötüye kullanımı / kod çalıştırma | Kılık değiştirme / gizlilik |
| OfficeClickToRun.exe | Kılık değiştirme / payload çalıştırma | Popup / exe maskeleme |
| RuntimeBroker.exe | Nesne / kod çalıştırma | OM enjeksiyonu / kod çalıştırma |
| StartMenuExperienceHost.exe | GUI alt sistemi / gizlilik | GUI manipülasyonu |
| unsecapp.exe | COM callback / uzaktan çalıştırma | Uzaktan kod çalıştırma |
DLL Setleri & Kullanımı
| DLL / API | Amaç |
|---|---|
| crypt32, secur32, userenv | Token / kimlik bilgisi erişimi |
| ws2_32, winhttp, iphlpapi, dhcpcsvc | Ağ / C2 |
| version, kernel32, ntdll | İşletim sistemi / proses bilgisi |
| dwrite, winmm | Ekran görüntüsü / multimedya |
| winspool.drv | Yazıcı / doküman sızdırma |
4️⃣ Ağ & C2
| Alan Adı / Akış | Amaç |
|---|---|
| clientservices.googleapis.com | Kılık değiştirme / TLS C2 |
| www.google.com, www.gstatic.com | TLS kamuflaj / gizlilik |
| root.worldwars.xyz | Olası C2 uç noktası / veri sızdırma |
TLS ve Google alan adı kamuflajı ile C2 iletişimi gizleniyor. Kimlik bilgileri ve sistem verileri şifrelenerek gönderiliyor.
Sunucu Konumu Analizi:
root.worldwars.xyz alan adı Cloudflare ile korunuyor, gerçek IP adreslerini gizliyor.
Pasif DNS kayıtları, MX/SPF girdileri ve geçmiş IP sorguları olası sunucu IP’lerini gösteriyor:
root.worldwars.xyz alan adı Cloudflare ile korunuyor, gerçek IP adreslerini gizliyor.
Pasif DNS kayıtları, MX/SPF girdileri ve geçmiş IP sorguları olası sunucu IP’lerini gösteriyor:
- 192.64.119.115 (MASCOCABINETRY)
- 198.54.117.212 (NAMECHEAP-NET)
- 184.168.221.104 (AS-26496-GO-DADDY-COM-LLC)
- Bunların bazıları hosting amaçlı da kullanılıyor.
5️⃣ IoC’ler & Şüpheli Davranışlar
| IoC / Olay | PID / Proses | Amaç / Açıklama |
|---|---|---|
| EnumeratesProcesses | 4912 / chrome.exe, 5348 / FightSouls.exe | Proses keşfi / kimlik bilgisi hedefleme |
| NtCreateUserProcessBlockNonMicrosoftBinary | 14 IoC | MS dışı binary oluşturma, gizlilik |
| AdjustPrivilegeToken | 64 IoC | Token yükseltme / SYSTEM hakları |
| FindShellTrayWindow | 22 IoC | GUI / kullanıcı varlığı kontrolü |
| WriteProcessMemory | 64 IoC | Proses enjeksiyonu / kod ele geçirme |
6️⃣ Stealer Aile Tahmini
En olası aile: StealerIT
Alternatifler: Raccoon Stealer, AZORult
- Tarayıcı kimlik bilgisi toplama + SQLite dökümü
- Dinamik payload derleme
- TLS kamuflaj + Google servisleri
- Temp klasöründe çalıştırma + kılık değiştirme
7️⃣ Sonuç & Öneriler
Kötü amaçlı yazılım bir Spyware / Truva Atı olup, kimlik bilgisi çalma, sistem keşfi ve ekran görüntüsü alma amacıyla geliştirilmiştir.
Payload; gizlilik, proses enjeksiyonu ve kılık değiştirme teknikleri kullanır. C2 iletişimi TLS ve Google alan adları ile gizlenmiştir.
Önerilen Aksiyonlar:
- Tam AV taraması ve sistem temizliği
- Tüm kullanıcı parolalarını sıfırla
- Ağ trafiği ve anormal proses davranışlarını izle
8️⃣ MITRE ATT&CK Haritalaması
Bu bölümde gözlemlenen kötü amaçlı yazılım davranışları MITRE ATT&CK çerçevesine eşleştirilmiştir.
| Taktik | Teknik | Gözlemlenen Davranış |
|---|---|---|
| Çalıştırma | Komut ve Script Yorumlayıcı (T1059) | BAT → EXE dinamik derleme ile payload çalıştırma |
| Süreklilik | Registry Run Anahtarları / Başlangıç Klasörü (T1547) | Payload Temp klasörüne bırakılıp yeniden başlatmada çalıştırılıyor |
| Savunma Atlama | Kılık Değiştirme (T1036) | Süreçler Chrome/Chromium gibi görünerek AV/EDR’den kaçıyor |
| Kimlik Bilgisi Erişimi | Tarayıcı Kimlik Bilgisi Dökümü (T1555.003) | Tarayıcı SQLite DB’den kimlik bilgisi toplama |
| Kimlik Bilgisi Erişimi | OS Kimlik Bilgisi Dökümü (T1003) | LSASS belleği / token çalma ihtimali |
| Toplama | Ekran Görüntüsü Alma (T1113) | Kullanıcı ekranlarını yakalama |
| Komuta ve Kontrol | Uygulama Katmanı Protokolü (T1071) | HTTPS/TLS trafiği: clientservices.googleapis.com, Google alan adları, root.worldwars.xyz |
| Dışarı Sızdırma | C2 Kanalı Üzerinden Veri Çıkarma (T1041) | Şifrelenmiş kimlik bilgileri ve sistem verileri C2’ye gönderiliyor |
9️⃣Analiz, Hydra Stealer (PC tarafı) tarafından üretilmiş 5 farklı payload içeriyor. Tüm payload’lar aynı MD5 hash değerine sahip, bu yüzden birini taramak yeterlidir.
| Payload Adı | Tarih / Saat | Dosya Türü | Boyut (KB) |
|---|---|---|---|
| Stealit_987b1334a8622b2e | 16.08.2025 15:58 | Uygulama | 70.912 |
Yorum Gönder