Manuel Statik Analiz (LLM Okumali) — DarkComet RAT | Tehdit: HIGH
Файл Kimligi
SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
Orijinal Ad f168pro.exe
Размер 762.880 byte (~745 KB)
MD5 ef5fb48c0f5d26272002fb779dec0c47
Dil Delphi (Pascal) — native Windows PE
C2 Altyapisi
DarkComet C2 adresi (TSocketHost/TSocketPort), binary icerisinde sifreli/gizli sekilde saklanmaktadir.
Статический анализle host bilgisi elde edilemedi; dinamik analiz gerekmektedir.
C2 Host Sifrelenmis konfigurasyonda
C2 Port Sifrelenmis konfigurasyonda
Soket Komponenti TSocketHost / TSocketPort (Delphi network bileseni)
Protokol TCP (DarkComet ozel protokol)
Обнаруженные возможности
Network ve C2
Delphi TIpSocket bileseni ile TCP baglantisi
WSAStartup / WSACleanup — soket baslangici
0.0.0.0 bind (dinleme portu) / giden baglanti destegi
Proses ve Sistem
Proses listeleme: CreateToolhelp32Snapshot, Process32First/Next
Thread ve modul listeleme: Thread32First/Next, Module32First/Next
Bellek okuma: Toolhelp32ReadProcessMemory
Dinamik kutuphane yukleme: BTMemoryLoadLibrary (in-memory/yansimali yukleme)
Import tablosu olusturma: BuildImportTable
Kalicilik
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM ve HKCU run kayitlari
MSConfig startup kaydinin gizlenmesi: SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
Hosts Файлsi Manipülasyonu
drivers\etc\hosts dosyasini degistirerek DNS yonlendirme
UAC etkinse hosts dosyasina erisim engellenmektedir (bu durumu bildirir)
IOC'lar
SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
MD5 ef5fb48c0f5d26272002fb779dec0c47
Файл f168pro.exe
C2 Sifrelenmis (dinamik analiz gerekli)
Nasil Kaldirilir?
Process sonlandirma: f168pro.exe veya atanmis process ismi olan islemi sonlandir
Registry temizle: HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run altindaki supheli girisler
MSConfig: Startup sekmesinden DarkComet baslatma kayitlarini kaldir
Hosts dosyasi: C:\Windows\System32\drivers\etc\hosts icindeki yabanci girisleri temizle
Tam AV tarama: Güncel imzali tarama yap
Teknik Ozet
DarkComet RAT — Delphi ile yazilmis tarihi ve hala aktif olan uzaktan erisim Trojanı.
C2 konfigurasyonu sifrelenmis binary icerisinde saklandigindan statik analizle host/port bilgisi
elde edilememistir. Tespit edilen yetenekler: proses listeleme, dinamik/yansimali DLL yukleme
(BTMemoryLoadLibrary), hosts dosyasi manipülasyonu ve registry kalicilik mekanizmasi.
DarkComet — Профиль вредоносного ПО
DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.
Язык программирования
Delphi
Технические детали
Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer
Список IOC
(3 индикаторов)
#
f168pro.exe
# SHA256
b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
# MD5
ef5fb48c0f5d26272002fb779dec0c47
Тип Значение Примечание
f168pro.exe
sha256
b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
md5
ef5fb48c0f5d26272002fb779dec0c47
C2 Серверы
(1 зарегистрированных серверов для этого семейства)
Адрес
Тип
Порт
Протокол
Статус
Страна
dkcomet.dedyn.io
domain
1604
TCP
inactive
DE
Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.