Manuel Statik Analiz — RecordBreaker (Raccoon Stealer 2.0) | Tehdit: ORTA
Dosya Kimliği
| SHA256 | aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2c7 |
|---|---|
| PDB | C:\Users\press\...\Report.A66214F7-6635-4084-8609-050NK772EXE\obj\Debug |
| String Sayisi | 11.452 |
LUWKTVNBABYKEY: XOR Anahtarında "BABY KEY" Gizli Mesajı
EASTER EGG: Geliştirici XOR şifreleme anahtarına "BABY" + "KEY" kelimelerini gizlemiş!
LUWKTVNBABYKEY XOEQJLDVKGWJYYXUU (32 karakter)
^^^^
-- Pozisyon 8-14: "BABYKEYXOE" = "BABY" + "KEY" gömülü!
-- 32-karakter XOR anahtarı = 256-bit (AES-256 eşdeğeri güçte)
-- Geliştirici: şifreleme anahtarına anlamlı kelimeler gizlemiş
- Bu: APT geliştiricilerin bazen yaptığı imza tekniği
- "BABY KEY" = kendi özel anahtarı, "bebek anahtar" lakabı?
- Forensik: bu kalıp → aynı geliştirici grubunu tanımlamak için
72-73 Karakter Şifreli Yapılandırma Stringleri
XHYOUUZATSDRIOKPGWDSUPIYJDEUYNBOTYORPGZMQXHQXWXJIKOEAFBHZAFQQFBGQPXJATA (72c) AWFFNSDHGEIBOTYPSIJQGFBPPSFGSUWLCNFJDDXHHWRZXVDFULGZPOQUUQQVNWOLHXZAOOMPKB (73c) XXRCBMAABHWIOIZQUPVYWJFJNFQAEQWSWURLHLWB (40c) EYBMPJDMTSCVFYNUQQGELHKNTYURLYBLNGLHOOOKERVFUNWWSLGBSUJWOOSQOMBUQQHZMF (71c) -- Tüm büyük harf, yüksek entropi = şifreli yapılandırma verileri -- MD5CryptoServiceProvider + CreateDecryptor kombinasyonu: - RecordBreaker: bu anahtarları MD5 hash'leyerek C2 config çözüyor - "XHYOUUZA..." → MD5 → AES anahtar → C2 adres/port decrypt
C:\Users\press Debug PDB + 050NK772EXE
C:\Users\press\AppData\Local\Temp\Report.A66214F7-6635-4084-8609-050NK772EXE\obj\Debug -- "press" = kısa geliştirici kullanıcı adı (5 karakter) -- "050NK772EXE" = standart dışı GUID bileşeni! - Normal GUID: sadece hex [0-9A-F] - "NK" + "EXE" = non-hex karakterler → özel sürüm/variant etiket -- "obj\Debug" = debug derlemesi (test/geliştirme aşaması)
IOC
| SHA256 | aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2c7 |
|---|---|
| Geliştirici | "press" (Debug PDB) |
RecordBreaker — Malware Profili
RecordBreaker Raccoon 2.0 stealer. BABYKEYXOE XOR key hidden message. 72-char uppercase encrypted config. press developer debug PDB. MD5 decryptor.
Malware Tipi
Infostealer
Programlama Dili
C++
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
Raccoon2
Teknik Detaylar
Infostealer ailesi: TCP C2 protokolu, kalicilik mekanizmasi (Registry/Task Scheduler), keylogger, ekran goruntüsü, uzak kabuk, dosya yoneticisi, process manager, anti-analiz kontrolleri
Yetenekler ve Davranış
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC Listesi (1 gösterge)
IOC — RecordBreaker
# SHA256
aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2
| Tür | Değer | Not |
|---|---|---|
| sha256 | aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2 |
C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| 188.120.241.201 | ip | 80 | HTTP | active | RU |
| 103.124.105.230 | ip | 443 | HTTPS | inactive | IN |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.