Manuel Statik Analiz — BruteRatel C4 Beacon | Tehdit: YUKSEK

Dosya Kimliği

SHA256c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adısteam_monitor_02F90000.dll
Boyut696.320 byte (696KB DLL)
String Sayisi1.569 (yoğun obfuskasyon)

Steam Kılığı: steam_monitor

steam_monitor_02F90000.dll
-- "steam_monitor" = Steam ağ izleme DLL'i gibi görünüyor
-- Steam oyuncular arasında yaygın → şüphe uyandırmaz
-- Gerçek Steam DLL isimlerine benzer: steam_api64.dll, steamclient.dll
-- DLL sideloading: meşru Steam.exe → steam_monitor DLL'ini yükler

DLL İsmine Gömülü Bellek Adresi: 0x02F90000

Nadir Teknik: DLL dosya adında yükleme adresi!
steam_monitor_02F90000.dll
-- "02F90000" = 0x02F90000 = bellek adresi (hexadecimal)
-- DLL'nin belleğe yükleneceği baz adresi dosya adına kodlanmış!
-- Bu teknik PE ASLR'yi atlatmada kullanılır:
  → LoadLibraryEx ile belirli adrese yükleme
  → Kod obfuskasyonu bellek adresine bağımlı
-- BruteRatel: her beacon için farklı bellek adresli DLL üretiyor

BruteRatel C4 Hakkında

BruteRatel C4 (Badger) 2020'de Chetan Nayak tarafından geliştirilen ve 2022'de crack edilen özel C2 framework. Cobalt Strike'ın gelişmiş rakibi. EDR/AV bypass için üretilmiş. Process injection, memory evasion, HTTPS/SMB C2. North Korea (Lazarus) ve Rus APT grupları tarafından 2022'de kırık kopya kullanıldı. Steam DLL sideloading ile tespitten kaçınma.

IOC

SHA256c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
DLLsteam_monitor_02F90000.dll (bellek adresi: 0x02F90000)

BruteRatel — Malware Profili

Brute Ratel C4 red team C2. steam_monitor DLL injection. TJC20MG session token. Registry persistence.

Malware Tipi
C2Framework
Programlama Dili
C
C2 Protokolü
HTTPS
Hedef Sistemler
Windows
Diğer Adlar (AKA)
BRC4

Yetenekler ve Davranış

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

IOC Listesi (1 gösterge)

IOC — BruteRatel
# SHA256 c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TürDeğerNot
sha256 c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Etiketler
bruteratelbruteratel-c4steam-monitor-02f90000-dllsteam-disguisememory-address-in-dll-namedll-load-addressisdebuggerpresent