Statik Analiz — DCRat | 높음 | CVSS: 7.5

파일

SHA256018b624ce866b245c4f23a1ca4087ae23c69e6caf735d730cfcc2a0fd1962ed3
MD50572b28e176a5c26dbb7b28e188645ba
파일018b624ce866b245c4f23a1ca4087ae23c69e6caf735d730cfcc2a0fd1962ed3.ps1
크기2,165 byte
유형ASCII text, with CRLF line terminators
Stringler44

IOC

SHA256018b624ce866b245c4f23a1ca4087ae23c69e6caf735d730cfcc2a0fd1962ed3
MD50572b28e176a5c26dbb7b28e188645ba
Domainmicrosoft.com, booking.com, nbkxf.com
C2microsoft.com, booking.com, nbkxf.com

DCRat — 악성코드 프로필

DCRat Rusça RAT. sostener1.vbs VBScript dropper. PowerShell ExecutionPolicy Bypass. geutqmonpmjthuux.ru DGA C2.

악성코드 유형
RAT
프로그래밍 언어
C#/.NET
C2 프로토콜
HTTP
대상 시스템
Windows
다른 이름 (AKA)
DarkCrystal

기술 세부 정보

.NET C#, AES-128-CBC sifreleme, plugin mimarisi (DLLler), TCP varsayilan port 5552, SQLite lokal depolama, Anti-VM/Sandbox (Process check, Registry), Loader, Stealer, RAT modulleri ayri

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (3 개 지표)

IOC — DCRat
# DOMAIN microsoft.com # DOMAIN booking.com # DOMAIN nbkxf.com
유형메모
domain microsoft.com C2 domain
domain booking.com C2 domain
domain nbkxf.com C2 domain

C2 서버 (이 패밀리에 대해 8개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
microsoft.com domain — TCP active —
digicert.com domain — TCP active —
crypto.io domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
DCRatmalwarestatik-analizIOC