Manuel Statik Analiz (LLM Okumali) — LimeRAT | Tehdit: YUKSEK
파일 Kimligi
| SHA256 | 940e18e109ff6af1d6c8ab01f00746034ae67bfa36f25c4d0af3f7cd3f0df3a1 |
|---|---|
| Yem 파일 Adi | kalyanonlinematkaapp.exe (Hint oyun lures) |
| 크기 | 399.872 byte |
| String Sayisi | 362 |
Cleartext C2 URL
IOC: C2 URL binary icerisinde cleartext gorunmektedir!
C2 URL: https://kalyanonlinematkaapp.in.net/tai-app-kubet/ Domain: kalyanonlinematkaapp.in.net Path: /tai-app-kubet/
Kalicilik Mekanizmalari
1. Zamanlanmis Gorev (Scheduled Task): schtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr '...' -- Kullanici girisi yaptiginda HIGHEST yetkisiyle calisir! 2. Registry Autorun: Software\Microsoft\Windows\CurrentVersion\Run -- Sistem baslatildiginda otomatik baslama
Teknik Ozellikler
- WMI sorgusu:
Win32_Processor.deviceid="CPU0"— donanim fingerprint - Mutex: kalici proses kontrolu
- Registry islemleri:
CreateSubKey,RegistryKey - Zamanlanmis gorev ile SYSTEM yetkisinde kalicilik
LimeRAT Hakkinda
LimeRAT, C# ile yazilmis acik kaynak bir RAT ailesidir (GitHub'da yayinlanmis). Remote access, keylogging, screenshot, clipboard, kripto clipper ve DDoS ozellikleri icerir. Hintli gambling/betting sitesi taklidi yaparak hedeflere ulasir.
IOC
| SHA256 | 940e18e109ff6af1d6c8ab01f00746034ae67bfa36f25c4d0af3f7cd3f0df3a1 |
|---|---|
| C2 | https://kalyanonlinematkaapp.in.net/tai-app-kubet/ |
| Kalicilik | schtasks LimeRAT-Admin (ONLOGON, HIGHEST) + Registry Run |
| WMI | Win32_Processor.deviceid="CPU0" |
LimeRAT — 악성코드 프로필
LimeRAT Hindistan Kalyan Matka piyango temasiyla dağıtılan. kalyanonlinematkaapp.in.net C2. Disk Enum VM tespiti. AES crypto.
악성코드 유형
RAT
프로그래밍 언어
C#/.NET
C2 프로토콜
TCP
대상 시스템
Windows
기술 세부 정보
C# .NET, AES sifreleme, TCP, Plugin tabanlı: RAT + Miner + Ransomware + Stealer, Clipboard Bitcoin hijacker, Monero madenci dahili, UAC bypass, Anti-analysis
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — LimeRAT
# SHA256
940e18e109ff6af1d6c8ab01f00746034ae67bfa36f25c4d0af3f7cd3f0df3a1
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 940e18e109ff6af1d6c8ab01f00746034ae67bfa36f25c4d0af3f7cd3f0df3a1 |
C2 서버 (이 패밀리에 대해 5개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| kalyanonlinematkaapp.in.net | domain | 443 | HTTPS | active | — |
| kalyanonlinematkaapp.in.net | domain | 443 | HTTPS | active | — |
| hu88999.com | domain | 443 | HTTPS | inactive | — |
| 45.90.222.109 | ip | 1177 | TCP | inactive | DE |
| 88.198.47.34 | ip | 4444 | TCP | inactive | DE |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.