Genel Bakis
Bu ornek, 8.5KB'lik bir Windows kisa yol (.lnk) phishing dosyasi. Icinde Base64 kodlu PowerShell komutu barindiran bu LNK dosyasi, belirli bir makinayi (laptop-pp7fvpth) ve kullaniciyi (SID: S-1-5-21-4018316176...) hedef alan hedefli saldiri karakteri tasimaktadir. TLS 1.2 ile sifrelenmis baglantilar kuran bu dropper, ZIP dosyasi indirip acmak uzere tasarlanmistir.
Teknik Analiz
LNK Droppper Mekanizmasi
- LNK hedef:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe - Icerige gömülü Base64 PS1 komutu — dogrudan calistiriliyor
- TLS 1.2 baglantisi:
SecurityProtocolType]::Tls12(base64 icinde goruluyor) - ZIP indirip acma: temp dosya olusturma + ZIP acma mantigi
Hedefli Saldiri Gostergeleri
- Kullanici SID:
S-1-5-21-4018316176-2930928383-3956032897-1003 - Makina adi:
laptop-pp7fvpth - Bu SID/hostname kombinasyonu, LNK'nin belirli bir makina icin hazirlanadigini gosteriyor
- Spear-phishing taktigi
Base64 PowerShell (Koda Gormek)
ZwAoACIA...— UTF-16 LE kodlu PS1 bloklari- Gizli TLS 1.2 baglanti kurma
- Gecici dosya indirme ve calistirma
ExpandEnvironmentVariablesreferansi — ortam degiskenlerine erisim
Hata Kaydi
TEMP\lnk_error.txt— lnk hata kaydi dosyasi
Teknik Ozellikler
| Ozellik | Value |
|---|---|
| Format | Windows Shortcut (.lnk) |
| Size | 8.497 bayt |
| Payload | Gömülü Base64 PowerShell |
| Hedef | laptop-pp7fvpth (spesifik makina) |
| SID | S-1-5-21-4018316176-2930928383-3956032897-1003 |
| Ag | TLS 1.2 |
IOC Ozeti
- SHA256:
998a2cbd0f0548e0de818fc305963fcad64de1ebcd28e039f43d42af4c4b52c6
IOC List (1 indicators)
IOC — LNK Dropper
# SHA256
998a2cbd0f0548e0de818fc305963fcad64de1ebcd28e039f43d42af4c4b52c6
| Type | Value | Note |
|---|---|---|
| sha256 | 998a2cbd0f0548e0de818fc305963fcad64de1ebcd28e039f43d42af4c4b52c6 |