Manuel Statik Analiz — AteraAgent (Meşru Araç Kötüye Kullanım) | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 파일 이름 | hmlineear.msi (rastgele isim — AteraAgent MSI yükleyicisi) |
| 크기 | 8.597.504 byte (8.2MB MSI) |
| String Sayisi | 42.630 |
Meşru RMM Aracı Saldırısı: Living Off The Land
UYARI: AteraAgent = Meşru yazılım, ama saldırganlar tarafından kötüye kullanılıyor!
AteraAgent (Atera Networks) = Yasal IT yönetim aracı -- Sistem yöneticileri tarafından BT desteği için kullanılıyor -- Uzaktan dosya yönetimi, komut çalıştırma, süreç izleme -- Antivirüs tarafından ENGELLENMEZ (imzalı, meşru yazılım!) -- Saldırganlar: kurban makineye izinsiz AteraAgent kurar → 7/24 uzaktan erişim elde eder → AV/EDR alarm vermez → Kalıcılık: Windows Service olarak kurulur
MSI Yükleyici Detayları
hmlineear.msi — AteraAgent MSI paketi -- "hmlineear" = rastgele karıştırılmış isim (kimlik gizleme) -- İçindeki domain: ps.atera.com/installers/dotnet/NDP472-K... -- .NET 4.7.2 gereksinimi: ps.atera.com'dan indirir -- Kayıt URL: dot.net/v1/dotnet-install.ps1 (Microsoft .NET installer) -- AteraAgent customer ID gömülü MSI içine → hangi saldırgan hesabına bağlanacağı
IOC
| SHA256 | 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Yöntem | Meşru RMM aracı (AteraAgent) yetkisiz kurulum |
| Tehlike | AV bypass + kalıcı uzaktan erişim |
AteraRAT — 악성코드 프로필
AteraAgent meşru RMM araci kötüye kullanim. Living off the land. AV bypass. hmlineear.msi randomize isim. ps.atera.com üzerinden kurulum.
악성코드 유형
RAT
프로그래밍 언어
Commercial RMM
C2 프로토콜
HTTPS RMM
대상 시스템
Küresel
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — AteraRAT
# SHA256
60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |