Manuel Statik Analiz — NetWire RAT | Tehdit: YUKSEK

Dosya Kimligi

SHA25673cf4c1de3510d40e4bfed23427d451ea32fefe1406e9aff0e8a50d7b0c0ea48
Boyut169.472 byte
String Sayisi1.016

GeoIP Kontrolu

http://www.yandex.com   -- GeoIP / kurban lokasyon tespiti

Chrome Kimlik Bilgisi Calma

%s\Google\Chrome\User Data\Default\Login Data
-- Google Chrome sifreli parola veritabani
encryptedPassword, encryptedUsername, encrypted_key

NetWire Protokol

HostId, Host: %s        -- NetWire C2 protocol header
T4 C2W                  -- C2 sekman isareti

IOC

SHA25673cf4c1de3510d40e4bfed23427d451ea32fefe1406e9aff0e8a50d7b0c0ea48
ChromeLogin Data hedefi
Geo Checkhttp://www.yandex.com

NetWire — Malware Profili

NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.

Malware Tipi
RAT
Programlama Dili
C
C2 Protokolü
TCP
Hedef Sistemler
Windows/Linux/macOS

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — NetWire
# SHA256 73cf4c1de3510d40e4bfed23427d451ea32fefe1406e9aff0e8a50d7b0c0ea48
TürDeğerNot
sha256 73cf4c1de3510d40e4bfed23427d451ea32fefe1406e9aff0e8a50d7b0c0ea48
Etiketler
netwireratchromecredential-theftyandex-geoiphostid