Hash / BilgiDeger
SHA256fdd56eff190fb7974b5432cafd9f0071049c37c853f229ffb69400e9687f49ab
MD5f3dcd81603a7b53421fcedce515a7c80
SHA16f5e15a2415801651cbe54b63eeaddd7df07ab45
ImpHashafcdf79be1557326c854b6e20cb900a7
Dosya Adif3dcd81603a7b53421fcedce515a7c80N.exe
Dosya Türüexe
Boyut1,352,704 bytes
Ilk Görülme2024-07-22

Tehdit Degerlendirmesi

Bu ornek, saldırganlara ele gecirilen sistemler uzerinde tam uzaktan kontrol imkani sunan bir RAT (Uzaktan Erisim Trojanı) olarak tespit edilmistir. Keylogging, ekran goruntüsü alma, dosya yonetimi ve kabuk erisimi gibi kapsamlı gozetleme yeteneklerine sahiptir.

Tespit Edilen Yetenekler

  • Uzaktan Erisim
  • Keylogging
  • Ekran Goruntüsü
  • Dosya Yonetimi
  • Kabuk Erisimi

MalwareBazaar Etiketleri

exeremcosRemcosRAT

Analiz Notu

Bu ornek RemcosRAT ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

RemcosRAT — Malware Profili

RemcosRAT - BreakingSecurity.net tarafindan lisansli satilan uzaktan erisim araci. Mesbru pentesting araci olarak satilsa da kriminal aktörler tarafindan yaygin kullanilir. Process hollowing, keylogger, clipboard/audio/screenshot izleme, Chrome kimlik bilgisi hirsizligi, UAC bypass, TLS 1.3 sifreli C2.

Malware Tipi
RAT
Programlama Dili
C++
C2 Protokolü
TCP/RC4
Hedef Sistemler
Windows
Diğer Adlar (AKA)
Remcos, Breaking-Security

Teknik Detaylar

TCP port 2404 (varsayilan), RC4 veya XOR sifreleme, C++ ile gelistirilmis, PE injection, UAC bypass (CMSTPLUA), AMSI bypass, Anti-debug (GetTickCount/RDTSC), DGA destekli C2, Keylogger, Screenshot, Audio

Atıf / Tehdit Aktörü

Breaking Security firmasinin isvicre tabanli olmasi nedeniyle ilk gelistirme AB'de gerceklestirilmistir; ancak surekli dunya genelinde siber suclu topluluklari tarafindan kullanilmaktadir.

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (2 gösterge)

IOC — RemcosRAT
# SHA256 fdd56eff190fb7974b5432cafd9f0071049c37c853f229ffb69400e9687f49ab # MD5 f3dcd81603a7b53421fcedce515a7c80
TürDeğerNot
sha256 fdd56eff190fb7974b5432cafd9f0071049c37c853f229ffb69400e9687f49ab
md5 f3dcd81603a7b53421fcedce515a7c80

C2 Sunucuları (Bu aile için 8 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
breakingsecurity.net domain — TCP active —
breakingsecurity.net domain — TCP active —
breakingsecurity.net domain — TCP active —
paint.net domain — TCP active —
americanshippingline.com domain — TCP active —
purl.org domain — TCP active —
adobe.com domain — TCP active —
paint.net domain — TCP active —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
exeremcosRemcosRAT