Manuel Statik Analiz — AresRAT (Python/Linux) | Tehdit: YUKSEK

파일 Kimliği

SHA256d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
파일 이름mozella (Mozilla taklidi — Firefox değil!)
TipELF Linux Binary
크기6.346.808 byte (6.3MB)
String Sayisi27.688

Python PyInstaller Embedding

Teknik: Python RAT, PyInstaller ile tek ELF binary'e dönüştürülmüş!
PyImport_AddModule     -- Python C API: modül ekleme
PyImport_ExecCodeModule -- Python C API: kod modülü çalıştırma
PyImport_ImportModule  -- Python C API: modül importu
-- PyInstaller frozen binary imzaları

Python Kütüphane Referansları

requests.cookies(   -- Python requests kütüphanesi cookie hırsızlığı
http.cookies(       -- Python stdlib cookie modülü

AresRAT Hakkında

AresRAT, GitHub'da yayınlanan açık kaynak Python tabanlı cross-platform RAT'tır. Linux, Windows ve macOS'u hedefler. Keylogger, reverse shell, dosya transfer, ekran görüntüsü yeteneklerine sahiptir. PyInstaller ile tek binary'e derlenebilir. "mozella" adı Firefox'u taklit etmek için seçilmiştir.

IOC

SHA256d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Kamuflajmozella (Firefox taklidi)
TipPyInstaller frozen Python ELF

AresRAT — 악성코드 프로필

AresRAT acik kaynak Python RAT. PyInstaller ELF. Linux/Windows/macOS. Keylogger, reverse shell.

악성코드 유형
RAT
프로그래밍 언어
Python
C2 프로토콜
HTTP/TCP
대상 시스템
Kuresel/Linux

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — AresRAT
# SHA256 d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
유형메모
sha256 d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
태그
aresratpyinstallerlinux-elfpython-embeddedmozellarequests-library