🔍 Contexte

Article publié le 24 mars 2026 sur le blog personnel de l’analyste 7amthereaper. Il s’agit d’une analyse technique complète et d’un reverse engineering du malware Brbbot, présenté comme un trojan/bot pouvant également fonctionner comme backdoor.

🧬 Identification du sample

Le sample analysé est identifié par le hash SHA256 : f9227a44ea25a7ee8148e2d0532b14bb640f6dc52cb5b22a9f4fa7fa037417fa.

⚙️ Comportements observés

L’analyse statique et dynamique révèle les comportements suivants :

  • Persistance : modification de la clé de registre \Microsoft\Windows\CurrentVersion\Run avec la valeur brbbot
  • Fichier de configuration chiffré : dépôt d’un fichier brbbotconfig.tmp sur le disque, chiffré avec la clé YnJiYm90
  • Chiffrement : utilisation de l’API Windows CryptDecrypt pour déchiffrer la configuration
  • Énumération des processus : via ZwQuerySystemInformation résolu dynamiquement (Dynamic API Resolution) depuis ntdll.dll
  • Communication C2 : requêtes HTTP vers brb.3dtuts.by ciblant le fichier ads.php, avec exfiltration de données chiffrées par XOR avec la clé 0x5b

📋 Commandes bot identifiées

La configuration déchiffrée révèle les commandes suivantes :

  • uri=ads.php — URI du panneau C2
  • exec=cexe — exécution de commandes
  • file=elif — opérations sur fichiers
  • conf=fnoc — configuration
  • exit=tixe — sortie
  • encode=5b — clé d’encodage XOR
  • sleep=30000 — délai entre les requêtes

🛠️ Techniques d’analyse utilisées

  • Outils : Ghidra, x32dbg, Process Hacker, ProcMon, FakeNet-ng, CyberChef
  • Simulation C2 : serveur Apache local avec redirection DNS pour intercepter et contrôler le bot
  • Démonstration de l’exécution de commandes via cexe c:\windows\notepad.exe

📄 Type d’article

Analyse technique détaillée de malware, destinée à documenter les capacités, mécanismes de persistance, protocole C2 et techniques d’évasion de Brbbot à des fins de recherche en cybersécurité.

🧠 TTPs et IOCs détectés

TTP

  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1057 — Process Discovery (Discovery)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1132 — Data Encoding (Command and Control)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1106 — Native API (Execution)
  • T1129 — Shared Modules (Execution)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

IOC

  • Domaines : brb.3dtuts.by
  • URLs : http://brb.3dtuts.by/ads.php
  • SHA256 : f9227a44ea25a7ee8148e2d0532b14bb640f6dc52cb5b22a9f4fa7fa037417fa
  • Fichiers : brbbotconfig.tmp
  • Fichiers : ads.php

Malware / Outils

  • Brbbot (rat)

🔗 Source originale : https://7amthereaper.github.io/posts/brbbot-full-analysis/