Manuel Statik Analiz (LLM Okumali) — DarkComet RAT | Tehdit: HIGH

Файл Kimligi

SHA256b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
Orijinal Adf168pro.exe
Размер762.880 byte (~745 KB)
MD5ef5fb48c0f5d26272002fb779dec0c47
DilDelphi (Pascal) — native Windows PE

C2 Altyapisi

DarkComet C2 adresi (TSocketHost/TSocketPort), binary icerisinde sifreli/gizli sekilde saklanmaktadir. Статический анализle host bilgisi elde edilemedi; dinamik analiz gerekmektedir.
C2 HostSifrelenmis konfigurasyonda
C2 PortSifrelenmis konfigurasyonda
Soket KomponentiTSocketHost / TSocketPort (Delphi network bileseni)
ProtokolTCP (DarkComet ozel protokol)

Обнаруженные возможности

Network ve C2

  • Delphi TIpSocket bileseni ile TCP baglantisi
  • WSAStartup / WSACleanup — soket baslangici
  • 0.0.0.0 bind (dinleme portu) / giden baglanti destegi

Proses ve Sistem

  • Proses listeleme: CreateToolhelp32Snapshot, Process32First/Next
  • Thread ve modul listeleme: Thread32First/Next, Module32First/Next
  • Bellek okuma: Toolhelp32ReadProcessMemory
  • Dinamik kutuphane yukleme: BTMemoryLoadLibrary (in-memory/yansimali yukleme)
  • Import tablosu olusturma: BuildImportTable

Kalicilik

  • SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKLM ve HKCU run kayitlari
  • MSConfig startup kaydinin gizlenmesi: SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Hosts Файлsi Manipülasyonu

  • drivers\etc\hosts dosyasini degistirerek DNS yonlendirme
  • UAC etkinse hosts dosyasina erisim engellenmektedir (bu durumu bildirir)

IOC'lar

SHA256b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
MD5ef5fb48c0f5d26272002fb779dec0c47
Файлf168pro.exe
C2Sifrelenmis (dinamik analiz gerekli)

Nasil Kaldirilir?

  1. Process sonlandirma: f168pro.exe veya atanmis process ismi olan islemi sonlandir
  2. Registry temizle: HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run altindaki supheli girisler
  3. MSConfig: Startup sekmesinden DarkComet baslatma kayitlarini kaldir
  4. Hosts dosyasi: C:\Windows\System32\drivers\etc\hosts icindeki yabanci girisleri temizle
  5. Tam AV tarama: Güncel imzali tarama yap

Teknik Ozet

DarkComet RAT — Delphi ile yazilmis tarihi ve hala aktif olan uzaktan erisim Trojanı. C2 konfigurasyonu sifrelenmis binary icerisinde saklandigindan statik analizle host/port bilgisi elde edilememistir. Tespit edilen yetenekler: proses listeleme, dinamik/yansimali DLL yukleme (BTMemoryLoadLibrary), hosts dosyasi manipülasyonu ve registry kalicilik mekanizmasi.

DarkComet — Профиль вредоносного ПО

DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.

Тип вредоносного ПО
RAT
Язык программирования
Delphi
C2 Протокол
TCP
Целевые системы
Windows

Технические детали

Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (3 индикаторов)

IOC — DarkComet
# f168pro.exe # SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1 # MD5 ef5fb48c0f5d26272002fb779dec0c47
ТипЗначениеПримечание
f168pro.exe
sha256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
md5 ef5fb48c0f5d26272002fb779dec0c47

C2 Серверы (1 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
dkcomet.dedyn.io domain 1604 TCP inactive DE

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
darkcometratdelphibtmemoryhosts-manipulationregistrystatik-analiz