Manuel Statik Analiz (LLM Okumali) — DarkComet RAT | Tehdit: YUKSEK

Dosya Kimligi

SHA25601e521b7dea93a8eb80883d7bc535dedc2a09eeb981729fd46f4ee677900c64e
Yem AdiFacebook.exe (Facebook sosyal medya yemi)
Boyut775.168 byte
DilDelphi (Borland/Embarcadero)
String Sayisi5.584

Aile Tespit Imzalari

DarkComet imzalari string analizinde net olarak tespit edildi:
DCMUTEX                   -- DarkComet'in SIGNATURE mutex'i!
SOFTWARE\Borland\Delphi\RTL -- Delphi runtime onayı
TScreenCapture            -- Ekran yakalama modulu (Delphi sinifi)
TRemoteShell              -- Uzak kabuk modulu
PLUGIN / NUntPluginsData  -- Plugin sistemi
UntKeylogger              -- Keylogger birimi
UntScreenCapture          -- Ekran goruntuleme birimi
UntRemoteShell            -- Uzak kabuk birimi
untstartup                -- Baslangic / kalicilik modulu

Keylogger Komut Stringleri

ActiveOnlineKeylogger     -- Canli keylogging'i aktif et
UnActiveOnlineKeylogger   -- Canli keylogging'i durdur
KeylogOn                  -- Keylog baslat
ActiveOfflineKeylogger    -- Cevrimdisi keylogger modu
UnActiveOfflineKeylogger  -- Cevrimdisi keylogger'i durdur
ActiveOnlineKeyStrokes    -- Anlık tus basimlarini izle
UnActiveOnlineKeyStrokes  -- Anlık izlemeyi durdur

C2 Yapılandirmasi

127.0.0.1:1604  -- DarkComet varsayilan C2 IP:port
                -- 1604, DarkComet'in imza portudur
                -- 127.0.0.1 = test/gelistirme modunda derlenmis

Kalicilik

SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\  -- Registry startup
SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\  -- Startup folder

Hosts Dosyasi Manipulasyonu

drivers\etc\hosts
"I wasn't able to open the hosts file, maybe because UAC is enabled..."
-- DarkComet hosts dosyasini degistirmeye calisir (DNS hijacking)

DarkComet Hakkinda

DarkComet, Jean-Pierre Lesueur (DarkCoderSc) tarafindan Fransa'da gelistirilmis ve 2008-2012 yillari arasinda aktif olan bir Delphi RAT ailesidir. 2012 Suriye ic savasi sirasinda aktivistlere karsi hukumet aktörleri tarafindan kullaniminin tespit edilmesinin ardindan gelistirici projeyi durdurdu. Ancak fork'lari ve klonlari hala aktif olarak kullanilmaktadir.

IOC

SHA25601e521b7dea93a8eb80883d7bc535dedc2a09eeb981729fd46f4ee677900c64e
MutexDCMUTEX (DarkComet signature)
C2 Port1604 (DarkComet varsayilan)
DilDelphi (Borland)
YemFacebook.exe

DarkComet — Malware Profili

DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.

Malware Tipi
RAT
Programlama Dili
Delphi
C2 Protokolü
TCP
Hedef Sistemler
Windows

Teknik Detaylar

Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — DarkComet
# SHA256 01e521b7dea93a8eb80883d7bc535dedc2a09eeb981729fd46f4ee677900c64e
TürDeğerNot
sha256 01e521b7dea93a8eb80883d7bc535dedc2a09eeb981729fd46f4ee677900c64e

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
dkcomet.dedyn.io domain 1604 TCP inactive DE

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
darkcometratfacebook-luredcmutexdelphikeyloggerscreencaptureremoteshellplugin