Manuel Statik Analiz (LLM Okumali) — DCRat (Dark Crystal RAT) | Tehdit: KRITIK

Dosya Kimligi

SHA2567b8787d64d8a0349bb302fca1a76267de0d22e5a2c1b3f4a8d9e6c7b0f2e3d14
Orijinal AdClient.exe
Dil.NET Framework 4.0
Versiyon1.0.7.0

Gelistirici Imzasi

Kritik String Tespiti: Binary icerisinde gelistiricinin takim adi olan DcRatByqwqdanchun cleartext olarak bulunmaktadir. Bu, DCRat ailesi icin kesin teyit saglar.
DcRatByqwqdanchun    <-- Gelistirici imzasi (cleartext)
MutexControl         <-- Mutex adi
$29840822-5B84-11D0-BD3B-00A0C911CE86   <-- GUID

DCRat Hakkinda

DCRat (Dark Crystal RAT), qwqdanchun takma adli bir gelistirici tarafindan 2019 yilinda ortaya cikan ve Russian RuTOR forumunda dusuk maliyetle satilan bir .NET RATdir. Rusya kokenli underground gelistirme surecinin nadir bir ornegi olan DCRat, moduler mimarisiyle dikkat ceker.

DCRat Yetenekleri

ModulYetenek
Temel RATUzak kabuk, dosya yonetimi, surec yonetimi
KeyloggerTus kaydi ve ekran goruntusu
StealerTarayici sifreleri, Discord token, Telegram
ClipperKripto cuzdan adresi degistirme
RansomwareSecilebilir modul (nadiren kullanilir)
HVNCGizli uzak masaustu

MB Etiketi Yanilticiligi

Bu ornek MalwareBazaar tarafindan AsyncRAT olarak etiketlenmistir. Ancak binary icindeki DcRatByqwqdanchun dizisi, bu orneklerin DCRat olduğunu kesin sekilde ortaya koymaktadir. DCRat, AsyncRAT kod tabanini fork alarak gelistirildiginden otomatik analiz sistemleri zaman zaman yanlis etiketleyebilir.

IOC

SHA2567b8787d64d8a0349bb302fca1a76267de0d22e5a2c1b3f4a8d9e6c7b0f2e3d14
Gelistiriciqwqdanchun
MutexMutexControl
Versiyon1.0.7.0
GUID$29840822-5B84-11D0-BD3B-00A0C911CE86
C2Sifrelenmis TCP (dinamik analiz gerekli)

DCRat — Malware Profili

DCRat Rusça RAT. sostener1.vbs VBScript dropper. PowerShell ExecutionPolicy Bypass. geutqmonpmjthuux.ru DGA C2.

Malware Tipi
RAT
Programlama Dili
C#/.NET
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
DarkCrystal

Teknik Detaylar

.NET C#, AES-128-CBC sifreleme, plugin mimarisi (DLLler), TCP varsayilan port 5552, SQLite lokal depolama, Anti-VM/Sandbox (Process check, Registry), Loader, Stealer, RAT modulleri ayri

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — DCRat
# SHA256 7b8787d64d8a0349bb302fca1a76267de0d22e5a2c1b3f4a8d9e6c7b0f2e3d14
TürDeğerNot
sha256 7b8787d64d8a0349bb302fca1a76267de0d22e5a2c1b3f4a8d9e6c7b0f2e3d14

C2 Sunucuları (Bu aile için 8 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
microsoft.com domain &mdash; TCP active &mdash;
digicert.com domain &mdash; TCP active &mdash;
crypto.io domain &mdash; TCP active &mdash;
microsoft.com domain &mdash; TCP active &mdash;
microsoft.com domain &mdash; TCP active &mdash;
microsoft.com domain &mdash; TCP active &mdash;
microsoft.com domain &mdash; TCP active &mdash;
microsoft.com domain &mdash; TCP active &mdash;

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
dcratdark-crystal-ratqwqdanchunmutexcontroldotnetratgelistirici-imzasi