Manuel Statik Analiz — NanoCore RAT | Tehdit: YUKSEK

Файл Kimliği

SHA2564eca71001daaabb1207872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Имя файлаpk68.io.exe (.io domain adını dosya ismi olarak kullanmış!)
Размер207.872 byte (.NET C#)
String Sayisi2.145

Açık NanoCore Stringleri

#GUID              -- .NET assembly kimliği
NanoCore Client    -- Açık aile adı!
NanoCore Client.exe -- Beklenen çalışma dosyası ismi
-- Geliştirici stringleri gizlememiş = tespit kolaylığı

NanoCore Hakkında

NanoCore, 2013'te Amerikan geliştirici Taylor Huddleston tarafından yazılan .NET C# RAT'ıdır. Huddleston 2019'da 3 yıl hapis cezası aldı. Satılan lisanslı kopyalar dark web'e sızdı ve yaygın kullanıma girdi. Keylogger, webcam erişimi, ekran görüntüsü ve dosya yönetimi özellikleri.

IOC

SHA2564eca71001daaabb1207872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
StringNanoCore Client (açık aile kimliği)

NanoCore2 — Профиль вредоносного ПО

NanoCore .NET RAT 2013. HP Jetstar scanner lure. Administrator PDB FqStwIZtCP. Plugin: keylogger webcam credential.

Тип вредоносного ПО
RAT
Язык программирования
C#/.NET
C2 Протокол
TCP
Целевые системы
Kuresel

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (1 индикаторов)

IOC — Nanocore2
# DOMAIN pk68.io
ТипЗначениеПримечание
domain pk68.io
Теги
nanocorepk68-io-exenanocore-client-stringguidratnet-csharpexplicit-family-string