Hash / BilgiDeger
SHA256dbbcec0d5113d71eaff4520425519d1cf48fd207f0189335292930e1dc4b519f
MD508131e0107ceef3162029403022316d2
SHA14c1ed679dfda6edf384f77a23b1dcac610c4cbc3
ImpHash1389569a3a39186f3eb453b501cfe688
Dosya Adidbbcec0d5113d71eaff4520425519d1cf48fd207f0189335292930e1dc4b519f
Dosya Türüexe
Boyut497,664 bytes
Ilk Görülme2024-09-28

Tehdit Degerlendirmesi

Bu ornek, saldırganlara ele gecirilen sistemler uzerinde tam uzaktan kontrol imkani sunan bir RAT (Uzaktan Erisim Trojanı) olarak tespit edilmistir. Keylogging, ekran goruntüsü alma, dosya yonetimi ve kabuk erisimi gibi kapsamlı gozetleme yeteneklerine sahiptir.

Tespit Edilen Yetenekler

  • Uzaktan Erisim
  • Keylogging
  • Ekran Goruntüsü
  • Dosya Yonetimi
  • Kabuk Erisimi

MalwareBazaar Etiketleri

37-120-137-198exeremcosRemcosRAT

Analiz Notu

Bu ornek RemcosRAT ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

RemcosRAT — Malware Profili

RemcosRAT - BreakingSecurity.net tarafindan lisansli satilan uzaktan erisim araci. Mesbru pentesting araci olarak satilsa da kriminal aktörler tarafindan yaygin kullanilir. Process hollowing, keylogger, clipboard/audio/screenshot izleme, Chrome kimlik bilgisi hirsizligi, UAC bypass, TLS 1.3 sifreli C2.

Malware Tipi
RAT
Programlama Dili
C++
C2 Protokolü
TCP/RC4
Hedef Sistemler
Windows
Diğer Adlar (AKA)
Remcos, Breaking-Security

Teknik Detaylar

TCP port 2404 (varsayilan), RC4 veya XOR sifreleme, C++ ile gelistirilmis, PE injection, UAC bypass (CMSTPLUA), AMSI bypass, Anti-debug (GetTickCount/RDTSC), DGA destekli C2, Keylogger, Screenshot, Audio

Atıf / Tehdit Aktörü

Breaking Security firmasinin isvicre tabanli olmasi nedeniyle ilk gelistirme AB'de gerceklestirilmistir; ancak surekli dunya genelinde siber suclu topluluklari tarafindan kullanilmaktadir.

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (2 gösterge)

IOC — RemcosRAT
# SHA256 dbbcec0d5113d71eaff4520425519d1cf48fd207f0189335292930e1dc4b519f # MD5 08131e0107ceef3162029403022316d2
TürDeğerNot
sha256 dbbcec0d5113d71eaff4520425519d1cf48fd207f0189335292930e1dc4b519f
md5 08131e0107ceef3162029403022316d2

C2 Sunucuları (Bu aile için 8 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
breakingsecurity.net domain — TCP active —
breakingsecurity.net domain — TCP active —
breakingsecurity.net domain — TCP active —
paint.net domain — TCP active —
americanshippingline.com domain — TCP active —
purl.org domain — TCP active —
adobe.com domain — TCP active —
paint.net domain — TCP active —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
37-120-137-198exeremcosRemcosRAT