Manuel Statik Analiz — DCRat (Dark Crystal RAT) | Tehdit: YUKSEK

Dosya Kimliği

SHA25671c79c58dc14cf561031536b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adısostener1.vbs ("sostener" = İspanyolca "tutmak/sürdürmek")
Boyut1.031.536 byte (VBScript loader)
String Sayisi777

DGA C2 Domain

C2: 16 karakterlik rastgele görünen Rusya TLD domain!
geutqmonpmjthuux.Ru
-- 16 küçük harf karakter (DGA karakteristik)
-- .Ru = Rusya TLD (büyük R - case variation!)
-- DCRat'ın tipik rastgele C2 domain oluşturma tekniği

Çok Dilli Dağıtım

sostener1.vbs  -- İspanyolca lure (İspanya/Latam hedefleme?)
-- "sostener" = tutmak, sürdürmek, desteklemek
-- "1" = versiyon/sıra numarası
-- .vbs = Windows Script Host ile doğrudan çalışır

IOC

SHA25671c79c58dc14cf561031536b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2geutqmonpmjthuux.Ru

DCRat3 — Malware Profili

DCRat Dark Crystal RAT .NET 2018 Rusya. $30-100 Telegram sat. Plugin modular. geutqmon DGA C2.

Malware Tipi
RAT
Programlama Dili
C#/.NET
C2 Protokolü
HTTPS
Hedef Sistemler
Kuresel

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — DCRat3
# DOMAIN geutqmonpmjthuux.ru
TürDeğerNot
domain geutqmonpmjthuux.ru

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
geutqmonpmjthuux.ru domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
dcratsostener-vbsgeutqmonpmjthuux-rudga-domainru-tldspanish-vbs16char-domain