Manuel Statik Analiz — DarkComet RAT | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 01e521b7dea93a8e775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| 파일 이름 | Facebook.exe (sosyal medya taklidi!) |
| 크기 | 775.168 byte (757KB) |
| String Sayisi | 5.584 |
Facebook.exe: Sosyal Medya Taklidi
GİZLEME: Facebook masaüstü uygulaması taklidi!
Facebook.exe -- Facebook'un masaüstü uygulaması gibi görünür -- "Arkadaşından geldi, Facebook kurulumu" → güvenir tıklar -- DarkComet: özellikle genç kullanıcıları hedef alır -- Görev yöneticisinde: "Facebook.exe" → şüphe uyandırmaz
IAMStreamConfig4: Webcam ve Mikrofon Akışı
DONANIM CASUSLUK: DirectShow ile webcam/mikrofon izleme!
IAMStreamConfig4 (DirectShow COM arayüzü) -- IAM = "IAMStreamConfig" = DirectShow streaming konfigürasyonu -- "4" = arayüz versiyonu (DirectShow genişletmesi) -- DarkComet: webcam'ı etkinleştirip kurbanı izleyebilir -- Mikrofon akışı: odadaki konuşmaları kaydeder -- DirectShow: Windows'un yerleşik medya çerçevesi → AV tespiti zor
MSConfig Başlangıç Kalıcılığı
SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder -- MSConfig startup klasörü kaydı -- DarkComet: sistem başlangıcında otomatik başlar -- "Shared Tools\MSConfig" = msconfig.exe'nin yönettiği liste -- Kalıcılık: restart sonrası da aktif
IOC
| SHA256 | 01e521b7dea93a8e775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Lure | Facebook.exe (sosyal medya) |
| Teknik | IAMStreamConfig4 webcam + MSConfig startup |
DarkComet — 악성코드 프로필
DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.
악성코드 유형
RAT
프로그래밍 언어
Delphi
C2 프로토콜
TCP
대상 시스템
Windows
기술 세부 정보
Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — DarkComet
# SHA256
01e521b7dea93a8e775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 01e521b7dea93a8e775168b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| dkcomet.dedyn.io | domain | 1604 | TCP | inactive | DE |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.