Manuel Statik Analiz (LLM Okumali) — DarkComet RAT | Tehdit: HIGH

파일 Kimligi

SHA256b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
Orijinal Adf168pro.exe
크기762.880 byte (~745 KB)
MD5ef5fb48c0f5d26272002fb779dec0c47
DilDelphi (Pascal) — native Windows PE

C2 Altyapisi

DarkComet C2 adresi (TSocketHost/TSocketPort), binary icerisinde sifreli/gizli sekilde saklanmaktadir. 정적 분석le host bilgisi elde edilemedi; dinamik analiz gerekmektedir.
C2 HostSifrelenmis konfigurasyonda
C2 PortSifrelenmis konfigurasyonda
Soket KomponentiTSocketHost / TSocketPort (Delphi network bileseni)
ProtokolTCP (DarkComet ozel protokol)

탐지된 기능

Network ve C2

  • Delphi TIpSocket bileseni ile TCP baglantisi
  • WSAStartup / WSACleanup — soket baslangici
  • 0.0.0.0 bind (dinleme portu) / giden baglanti destegi

Proses ve Sistem

  • Proses listeleme: CreateToolhelp32Snapshot, Process32First/Next
  • Thread ve modul listeleme: Thread32First/Next, Module32First/Next
  • Bellek okuma: Toolhelp32ReadProcessMemory
  • Dinamik kutuphane yukleme: BTMemoryLoadLibrary (in-memory/yansimali yukleme)
  • Import tablosu olusturma: BuildImportTable

Kalicilik

  • SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKLM ve HKCU run kayitlari
  • MSConfig startup kaydinin gizlenmesi: SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Hosts 파일si Manipülasyonu

  • drivers\etc\hosts dosyasini degistirerek DNS yonlendirme
  • UAC etkinse hosts dosyasina erisim engellenmektedir (bu durumu bildirir)

IOC'lar

SHA256b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
MD5ef5fb48c0f5d26272002fb779dec0c47
파일f168pro.exe
C2Sifrelenmis (dinamik analiz gerekli)

Nasil Kaldirilir?

  1. Process sonlandirma: f168pro.exe veya atanmis process ismi olan islemi sonlandir
  2. Registry temizle: HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run altindaki supheli girisler
  3. MSConfig: Startup sekmesinden DarkComet baslatma kayitlarini kaldir
  4. Hosts dosyasi: C:\Windows\System32\drivers\etc\hosts icindeki yabanci girisleri temizle
  5. Tam AV tarama: Güncel imzali tarama yap

Teknik Ozet

DarkComet RAT — Delphi ile yazilmis tarihi ve hala aktif olan uzaktan erisim Trojanı. C2 konfigurasyonu sifrelenmis binary icerisinde saklandigindan statik analizle host/port bilgisi elde edilememistir. Tespit edilen yetenekler: proses listeleme, dinamik/yansimali DLL yukleme (BTMemoryLoadLibrary), hosts dosyasi manipülasyonu ve registry kalicilik mekanizmasi.

DarkComet — 악성코드 프로필

DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.

악성코드 유형
RAT
프로그래밍 언어
Delphi
C2 프로토콜
TCP
대상 시스템
Windows

기술 세부 정보

Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (3 개 지표)

IOC — DarkComet
# f168pro.exe # SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1 # MD5 ef5fb48c0f5d26272002fb779dec0c47
유형메모
f168pro.exe
sha256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
md5 ef5fb48c0f5d26272002fb779dec0c47

C2 서버 (이 패밀리에 대해 1개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
dkcomet.dedyn.io domain 1604 TCP inactive DE

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
darkcometratdelphibtmemoryhosts-manipulationregistrystatik-analiz