Manuel Statik Analiz (LLM Okumali) — VenomRAT | Tehdit: YUKSEK
Файл Kimligi
| SHA256 | e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29 |
|---|---|
| Размер | 75.776 byte (~74 KB) |
| Calisma Zamani | .NET Framework 4.0 (v4.0.30319) |
Analiz
Bu VenomRAT ornegi sikistirilmis formatta. Binary'de KeylogMutexString, MutexControl, CloseMutex, CreateMutex string'leri tespit edilmistir; bunlar VenomRAT'a has belirleyicilerdir. C2 endpoint'i runtime'da sifre cozulerek kullanilmaktadir.
C2 Altyapisi
C2 sifrelenmis (AES/XOR), statik analizde gorunur degildir. VenomRAT genellikle TCP C2 kullanir, port 4449 veya 3001 default portlari olarak bilinir.
Bilinen VenomRAT Yetenekleri
- Uzaktan komut yürütme
- Keylogger (
KeylogMutexStringbelirleyicisi) - Ekran goruntüsü
- Файл yonetimi
- Tarayici sifre calma
- Process injection
- Ters baglanti (reverse connect) TCP
IOC
| SHA256 | e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29 |
|---|---|
| C2 | Sifrelenmis (TCP, dinamik analiz gerekli) |
VenomRAT — Профиль вредоносного ПО
VenomRAT .NET 2021 QuasarRAT fork. golink.com URL shortener C2. AllowSmartScreen bypass. HVNC+keylogger+stealer.
Тип вредоносного ПО
RAT
Язык программирования
C#/.NET
C2 Протокол
TCP/SSL
Целевые системы
Windows
Возможности и поведение
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Список IOC (1 индикаторов)
IOC — VenomRAT
# SHA256
e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29 |