Manuel Statik Analiz — VenomRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA2566d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut1.510.400 byte (1.5MB)
String Sayisi9.345

URL Shortener C2 Maskeleme

https://www.golink.com/
-- GoLink = URL shortener/yönlendirme servisi
-- Gerçek C2 IP'si kısaltıcı arkasında gizlenir
-- GoLink değiştirilirse → yeni C2 yönlendirme (esneklik!)
-- Whitelist engellerini aşar: golink.com meşru görünür

Microsoft SmartScreen Bypass

SOFTWARE\Microsoft\PolicyManager\default\Browser\AllowSmartScreen
-- SmartScreen = indirilen dosyaları bulut tabanlı tarama
-- Bu registry key = MDM/GPO SmartScreen kontrolü
-- 0 değerine ayarlanırsa SmartScreen devre dışı kalır!
-- UAC/SmartScreen bypass → payload'ı uyarısız çalıştırır

IOC

SHA2566d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2 Maskelemegolink.com (URL shortener)
BypassBrowser\AllowSmartScreen registry

VenomRAT — Malware Profili

VenomRAT .NET 2021 QuasarRAT fork. golink.com URL shortener C2. AllowSmartScreen bypass. HVNC+keylogger+stealer.

Malware Tipi
RAT
Programlama Dili
C#/.NET
C2 Protokolü
TCP/SSL
Hedef Sistemler
Windows

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — VenomRAT
# DOMAIN golink.com
TürDeğerNot
domain golink.com
Etiketler
venomratgolink-comurl-shortener-c2smartscreen-bypasspolicy-manager-registryallowsmartscreen