Manuel Statik Analiz (LLM Okumali) — ResolverRAT (Donut Decoded) | Tehdit: YUKSEK

Файл Kimligi

SHA25687053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
Файл Adidonut_decrypted_netexe.bin
FormatDonut shellcode ile sarmalanmis .NET PE
Размер605.184 byte
String Sayisi3.359

Obfuske String Anahtarlari

LuLZUIuxdUHc2aJ3gr     -- RC4/AES obfuske anahtar benzeri
Ehs6p1nwKvc2VUcNBI0    -- RC4/AES obfuske anahtar benzeri
o4unxurZc2gToNadJSp    -- C2 string'i iceriyor
<Module>{1F4B02DF-696E-486A-8B35-F56CCA1C23C6}  -- .NET GUID

Donut Shellcode Nedir?

Donut, .NET, COM ve VBScript gibi payload'lari bellekte calistirmak icin kullanilan acik kaynakli bir framework'tur. Disk uzerine yazilmadan bellekte yukleme yapar (fileless execution). Tespit edilmemeyi kolaylastirir.

ResolverRAT Hakkinda

ResolverRAT, 2021 yilinda saglik ve eczacilik sektorunu hedefleyen .NET tabanli bir RAT ailesidir. DLL side-loading, HTTPS C2, bellek icinde payload calistirma ve Runtime C# derleyicisi kullanimiyla dikkat ceker. HIPAAYAA ve GDPR kaygili saglik verisi calabilmektedir.

IOC

SHA25687053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
PakeleyiciDonut shellcode
Platform.NET + RC4 obfuske

ResolverRAT — Профиль вредоносного ПО

ResolverRAT, 2021 yilinda saglik ve eczacilik sektorunu hedefleyen .NET tabanli bir RAT ailesidir. DLL side-loading, HTTPS C2, bellek icinde calistirma (fileless) ve Donut shellcode ile dagitim kullanir.

Тип вредоносного ПО
RAT
Язык программирования
.NET/C#
C2 Протокол
HTTPS
Целевые системы
Saglik/Eczacilik Sektoru

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (1 индикаторов)

IOC — ResolverRAT
# SHA256 87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
ТипЗначениеПримечание
sha256 87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
Теги
resolverratdonutshellcodenetobfuskerc4healthcare