Manuel Statik Analiz — Havoc C2 Framework | Tehdit: YUKSEK

Файл Kimliği

SHA25695784518311ceddb11432968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Размер1.143.296 byte (1.1MB)
String Sayisi1.035

VM Tespiti Stringleri

vboxguest   -- VirtualBox Guest Additions sürücüsü (küçük harf!)
vboxmouse   -- VirtualBox fare sürücüsü
vmware      -- VMware hypervisor
-- Bu stringleri driver/device listesinde arayarak VM tespiti
-- Küçük harf: case-insensitive arama (büyük/küçük harf bypass'ı önler)

Tarayıcı İzleme API'leri

AuditBrowserFileOperationEvent  -- Tarayıcı dosya işlemi audit
AuditBrowserOperationEvent      -- Tarayıcı genel işlem audit
GetBrowserExtensionConfigur...  -- Tarayıcı eklenti konfigürasyonu
-- Tarayıcıdaki tüm işlemleri izler ve kaydeder
-- Credential + cookie çalma için temel altyapı

Havoc C2 Hakkında

Havoc, 2022'de açık kaynak olarak yayımlanan ve Cobalt Strike alternatifi olarak konumlandırılan C2 framework'üdür. Shellcode loader, HTTP/HTTPS beacon, process injection, token impersonation özellikleri. Gerçek kırmızı takım araçları ve siber suçlular tarafından eşit derecede kullanılıyor.

IOC

SHA25695784518311ceddb11432968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
VM-detectvboxguest / vboxmouse / vmware

HavocC2 — Профиль вредоносного ПО

Havoc C2 framework 2022. vboxguest vboxmouse vmware VM triple detect. Global GUID mutex. DLP browser bypass modülü.

Тип вредоносного ПО
C2Framework
Язык программирования
C/C++
C2 Протокол
HTTPS
Целевые системы
Windows/Linux

Возможности и поведение

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

Список IOC (1 индикаторов)

IOC — HavocC2
# SHA256 95784518311ceddb11432968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
ТипЗначениеПримечание
sha256 95784518311ceddb11432968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Теги
havoc-c2vboxguestvboxmousevmware-detectionaudit-browser-operationbrowser-extensionc2-framework