Manuel Statik Analiz — DCRat (DarkCrystal) | Tehdit: YUKSEK

Dosya Kimliği

SHA25671c79c58dc14cf56103153b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adısostener1.vbs
Boyut1.031.536 byte (1MB VBScript)
String Sayisi777

İspanyolca VBScript Dropper

sostener1.vbs
-- "sostener" = İspanyolca "tutmak/sürdürmek/desteklemek"
-- ".vbs" = Windows Script Host (WSH) VBScript
-- "1" = birden fazla dropper dosyası (sostener1, sostener2...)
-- LATAM (Latin Amerika) bölgesini hedef alıyor
-- VBScript → PE payload drop eder ve çalıştırır

DGA Benzeri C2: geutqmonpmjthuux.Ru

C2 Tespit: 15 karakterli rastgele domain + .Ru TLD!
geutqmonpmjthuux.Ru
-- "geutqmonpmjthuux" = 16 karakter rastgele harf (DGA benzeri)
-- .Ru = Rusya TLD (DCRat'ın Rusya kaynaklı olduğunu destekliyor)
-- DGA pattern: g-e-u-t-q-m-o-n-p-m-j-t-h-u-u-x (sözlük dışı)
-- Rastgele görünüm = takibi zorlaştırma amacıyla
-- DCRat genellikle .ru TLD üzerinde sabit C2 kullanır (DGA değil ama görünüşte öyle)

DCRat Hakkında

DCRat (DarkCrystal RAT), 2019'da Rus yeraltı forumlarında satışa çıkan modüler bir RAT'tır. Plugin sistemiyle keylogger, webcam erişimi, credential hırsızlığı, DDoS gibi özellikler eklenebilir. 2022-2023'te düşük fiyatıyla (yaklaşık 5$) popüler hale geldi. VBScript droppers + PowerShell stage chain kullanır. "sostener" İspanyolcası LATAM hedeflemeye işaret ediyor.

IOC

SHA25671c79c58dc14cf56103153b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
C2geutqmonpmjthuux.ru
Droppersostener1.vbs (İspanyolca LATAM lure)

DCRat2 — Malware Profili

DCRat DarkCrystal RAT 2019 Rus underground. Plugin tabanlı modüler. VBScript dropper. .Ru TLD C2. sostener LATAM hedefleme.

Malware Tipi
RAT
Programlama Dili
C#/.NET
C2 Protokolü
TCP/HTTP
Hedef Sistemler
Küresel

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — DCRat2
# DOMAIN geutqmonpmjthuux.ru
TürDeğerNot
domain geutqmonpmjthuux.ru

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
geutqmonpmjthuux.ru domain 443 HTTP inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
dcratdarkcrystal-ratsostener1-vbsspanish-vbscript-droppergeutqmonpmjthuux-rudga-like-c2latam-targetingru-tld