Manuel Statik Analiz (LLM Okumali) — NjRAT (Bladabindi) | Tehdit: YUKSEK

Dosya Kimligi

SHA25639cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
Boyut95.232 byte
Platform.NET 2.0 (v2.0.50727)
String Sayisi998

Aile Tespit Imzalari

NjRAT imzalari string analizi sonucunda dogrulandi:
avicap32.dll              -- Webcam API kutuphanesi (NjRAT cam ozelliginin imzasi)
capGetDriverDescriptionA  -- Webcam surucu listeleme (NjRAT'a ozgu)
CsAntiProcess             -- NjRAT'in anti-AV/process killing modulu
TcpClient                 -- TCP baglanti objesi
GZipStream                -- Veri sikistirma (exfiltration oncesi)
Socket / Connect          -- Agdan ag iletisimi
Screen / get_PrimaryScreen / CopyFromScreen  -- Ekran yakalama
ClipboardProxy / Clipboard   -- Pano erisimi
GetActiveTcpConnections   -- Aktif TCP baglanti listesi
timx_run / timy_run       -- Timer tabanli geri arama

NjRAT Yetenekleri

OzellikDetay
Webcamavicap32.dll ile canli goruntuleme
KeyloggerGetAsyncKeyState tabanli tus kaydi
ScreenshotCopyFromScreen ile ekran goruntusu
ClipboardPano iceriklerini oku/degistir
Dosya YonetimiUpload/download, silme, olusturma
Komut SatiriUzaktan cmd/PowerShell
Anti-AVCsAntiProcess ile AV proseslerini kapat
SikistirmaGZip ile veri sikistirma (bant genisligi)

NjRAT Hakkinda

NjRAT (Bladabindi olarak da bilinir), 2013 yilinda nj/njq8 takma adiyla bilinen bir gelistirici tarafindan Orta Dogu'daki kullanicilari hedefleyerek yazilmistir. VB.NET tabanlidir ve acik kaynak kodundan turetilen onlarca varyanti mevcuttur. Orta Dogu, Kuzey Afrika ve Asya'da yaygin; hukumet ve ordu kurumlarini hedef alan APT gruplarinca da kullanilmaktadir.

IOC

SHA25639cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
Imzalaravicap32.dll, capGetDriverDescriptionA, CsAntiProcess
Platform.NET v2.0.50727
C2Runtime (TcpClient hardcoded config)

NjRAT — Malware Profili

njRAT Bladabindi. Spanish cotizacion lure. get_Panel1 C2 panel. MENA + Latin America targeting.

Malware Tipi
RAT
Programlama Dili
VB.NET
C2 Protokolü
TCP (varsayilan port 1177)
Hedef Sistemler
Windows
Diğer Adlar (AKA)
Bladabindi, H-Worm, houdini

Teknik Detaylar

TCP port 1177 (varsayilan), XOR tabanlı iletisim sifreleme, .NET Framework 2.0+, Mutex: {GUID}, Registry Run key persistence, Keylogger (GetAsyncKeyState), clipboard monitor, screenshot, remote shell, remote camera

Atıf / Tehdit Aktörü

Arap dilli siber suc topluluklari, en cok MENA (Orta Dogu ve Kuzey Afrika) bolgesindeki gruplar. Yasama savasi donemi Suriyeli gruplar tarafindan da kullanilmistir.

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — NjRAT
# SHA256 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
TürDeğerNot
sha256 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13

C2 Sunucuları (Bu aile için 8 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
comodoca.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
comodoca.com domain — TCP active —
microsoft.com domain — TCP active —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
njratbladabindiwebcamavicap32csantiprocesstcpclientkeyloggerscreenshot