Malware Analiz Sonucu ve Davranış Özeti

Bu örnek malware, karmaşık ve çok katmanlı bir yapıya sahip. Node.js tabanlı runtime ortamında çalışan worker thread’lar (NodeWorker, NodeTracing gibi) ile çoklu iş parçacığı kullanıyor ve kendi içindeki debugging, tracing mekanizmalarıyla anti-debug ve anti-analysis önlemleri alıyor.

Windows API Seviyesi Davranışlar

• Process Injection: CreateRemoteThread, OpenProcess, WriteProcessMemory, VirtualAllocEx gibi tipik process ve memory injection tekniklerini kullanıyor.
• Dosya sistemi üzerinde okuma, yazma ve manipülasyon yapıyor.
• Registry’den donanım ve sistem bilgisi toplayarak çevresel keşif (discovery) gerçekleştiriyor.
• Network üzerinden HTTPS (TCP 443) bağlantıları ile command and control (C2) iletişimi kuruyor. Bu trafiği gizlemek için base64 kodlama, VLQ decoding ve source map işlemleri gibi karmaşık yöntemlere başvuruyor.

Tor İşlemi Davranışı

Özellikle dikkat çekici nokta, arka planda 32-bit mimaride çalışan meşru görünen bir TOR işlemi (örneğin bir TOR node veya köprü olarak) barındırması. Bu işlem, dışardan bakıldığında sıradan ve zararsız bir süreç gibi görünse de, aslında malware’in kendi ağı içinde Tor ağı oluşturduğu ve bu ağ üzerinden gizli trafik yönlendirmesi yaptığı anlamına geliyor.

Yani malware, kendi ağında Tor’u köprü olarak kullanarak:

• Ağ trafiğini anonimleştiriyor, izlenmesini zorlaştırıyor.
• Meşru process maskesi altında gizlenerek analizden kaçıyor.
• Aynı zamanda payload ve komutlarını C2 server’a iletirken güvenli, şifreli ve anonim bir kanal sağlıyor.

Genel Özellikler

• Çoklu teknoloji kullanıyor (Node.js, native Windows API).
• Gelişmiş anti-debug önlemleri alıyor.
• Process ve memory injection yapıyor.
• Dosya sistemi ve registry üzerinde keşif ve manipülasyon yapıyor.
• HTTPS tabanlı C2 ile iletişim kuruyor.
• Ve en kritik olarak kendi ağında gizli Tor köprüsü kurarak trafiğini anonimleştiriyor ve bu işlemi meşru bir Windows süreci gibi gizliyor.

Bu zararlı yazılımın önerilen sınıflandırma ismi: