Manuel Statik Analiz — DCRat (DarkCrystal) | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 71c79c58dc14cf56103153b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 파일 이름 | sostener1.vbs |
| 크기 | 1.031.536 byte (1MB VBScript) |
| String Sayisi | 777 |
İspanyolca VBScript Dropper
sostener1.vbs -- "sostener" = İspanyolca "tutmak/sürdürmek/desteklemek" -- ".vbs" = Windows Script Host (WSH) VBScript -- "1" = birden fazla dropper dosyası (sostener1, sostener2...) -- LATAM (Latin Amerika) bölgesini hedef alıyor -- VBScript → PE payload drop eder ve çalıştırır
DGA Benzeri C2: geutqmonpmjthuux.Ru
C2 Tespit: 15 karakterli rastgele domain + .Ru TLD!
geutqmonpmjthuux.Ru -- "geutqmonpmjthuux" = 16 karakter rastgele harf (DGA benzeri) -- .Ru = Rusya TLD (DCRat'ın Rusya kaynaklı olduğunu destekliyor) -- DGA pattern: g-e-u-t-q-m-o-n-p-m-j-t-h-u-u-x (sözlük dışı) -- Rastgele görünüm = takibi zorlaştırma amacıyla -- DCRat genellikle .ru TLD üzerinde sabit C2 kullanır (DGA değil ama görünüşte öyle)
DCRat Hakkında
DCRat (DarkCrystal RAT), 2019'da Rus yeraltı forumlarında satışa çıkan modüler bir RAT'tır. Plugin sistemiyle keylogger, webcam erişimi, credential hırsızlığı, DDoS gibi özellikler eklenebilir. 2022-2023'te düşük fiyatıyla (yaklaşık 5$) popüler hale geldi. VBScript droppers + PowerShell stage chain kullanır. "sostener" İspanyolcası LATAM hedeflemeye işaret ediyor.
IOC
| SHA256 | 71c79c58dc14cf56103153b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | geutqmonpmjthuux.ru |
| Dropper | sostener1.vbs (İspanyolca LATAM lure) |
DCRat2 — 악성코드 프로필
DCRat DarkCrystal RAT 2019 Rus underground. Plugin tabanlı modüler. VBScript dropper. .Ru TLD C2. sostener LATAM hedefleme.
악성코드 유형
RAT
프로그래밍 언어
C#/.NET
C2 프로토콜
TCP/HTTP
대상 시스템
Küresel
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — DCRat2
# DOMAIN
geutqmonpmjthuux.ru
| 유형 | 값 | 메모 |
|---|---|---|
| domain | geutqmonpmjthuux.ru |
C2 서버 (이 패밀리에 대해 1개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| geutqmonpmjthuux.ru | domain | 443 | HTTP | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.