Statik Analiz — DCRat | ВЫСОКИЙ | CVSS: 7.5

Файл

SHA256603e3c39f005b3d1b924cee22074cb5e93c5330795cca92da39c5f8d7063879f
MD53719428137329a37c6dcfd9a7b3b637e
Файл603e3c39f005b3d1b924cee22074cb5e93c5330795cca92da39c5f8d7063879f.exe
Размер18,206,920 byte
ТипPE32 executable for MS Windows 6.00 (GUI), Intel i386, 6 sections
Stringler32,289

Bölümler

AdEntropi
.sec�6.61
.secA5.2
.sec�3.28
.fptable0.0
.rsrc8.0
.reloc6.47

Import Tablosu

  • KERNEL32.dll
  • ADVAPI32.dll
  • SHELL32.dll
  • ole32.dll
  • OLEAUT32.dll

IOC

SHA256603e3c39f005b3d1b924cee22074cb5e93c5330795cca92da39c5f8d7063879f
MD53719428137329a37c6dcfd9a7b3b637e
Domain9iqe.su, sectigo.com, comodoca.com, usertrust.com
C29iqe.su, sectigo.com, comodoca.com, usertrust.com

DCRat — Профиль вредоносного ПО

DCRat Rusça RAT. sostener1.vbs VBScript dropper. PowerShell ExecutionPolicy Bypass. geutqmonpmjthuux.ru DGA C2.

Тип вредоносного ПО
RAT
Язык программирования
C#/.NET
C2 Протокол
HTTP
Целевые системы
Windows
Другие названия (AKA)
DarkCrystal

Технические детали

.NET C#, AES-128-CBC sifreleme, plugin mimarisi (DLLler), TCP varsayilan port 5552, SQLite lokal depolama, Anti-VM/Sandbox (Process check, Registry), Loader, Stealer, RAT modulleri ayri

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (4 индикаторов)

IOC — DCRat
# DOMAIN 9iqe.su # DOMAIN sectigo.com # DOMAIN comodoca.com # DOMAIN usertrust.com
ТипЗначениеПримечание
domain 9iqe.su C2 domain
domain sectigo.com C2 domain
domain comodoca.com C2 domain
domain usertrust.com C2 domain

C2 Серверы (8 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
microsoft.com domain — TCP active —
digicert.com domain — TCP active —
crypto.io domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
DCRatmalwarestatik-analizIOC