Manuel Statik Analiz (LLM Okumali) — LimeRAT | Tehdit: YUKSEK

파일 Kimligi

SHA256940e18e109ff6af1d6c8ab01f00746034ae67bfa36f25c4d0af3f7cd3f0df3a1
Yem 파일 Adikalyanonlinematkaapp.exe (Hint oyun lures)
크기399.872 byte
String Sayisi362

Cleartext C2 URL

IOC: C2 URL binary icerisinde cleartext gorunmektedir!
C2 URL: https://kalyanonlinematkaapp.in.net/tai-app-kubet/
Domain: kalyanonlinematkaapp.in.net
Path:   /tai-app-kubet/

Kalicilik Mekanizmalari

1. Zamanlanmis Gorev (Scheduled Task):
   schtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr '...'
   -- Kullanici girisi yaptiginda HIGHEST yetkisiyle calisir!

2. Registry Autorun:
   Software\Microsoft\Windows\CurrentVersion\Run   -- Sistem baslatildiginda otomatik baslama

Teknik Ozellikler

  • WMI sorgusu: Win32_Processor.deviceid="CPU0" — donanim fingerprint
  • Mutex: kalici proses kontrolu
  • Registry islemleri: CreateSubKey, RegistryKey
  • Zamanlanmis gorev ile SYSTEM yetkisinde kalicilik

LimeRAT Hakkinda

LimeRAT, C# ile yazilmis acik kaynak bir RAT ailesidir (GitHub'da yayinlanmis). Remote access, keylogging, screenshot, clipboard, kripto clipper ve DDoS ozellikleri icerir. Hintli gambling/betting sitesi taklidi yaparak hedeflere ulasir.

IOC

SHA256940e18e109ff6af1d6c8ab01f00746034ae67bfa36f25c4d0af3f7cd3f0df3a1
C2https://kalyanonlinematkaapp.in.net/tai-app-kubet/
Kalicilikschtasks LimeRAT-Admin (ONLOGON, HIGHEST) + Registry Run
WMIWin32_Processor.deviceid="CPU0"

LimeRAT — 악성코드 프로필

LimeRAT Hindistan Kalyan Matka piyango temasiyla dağıtılan. kalyanonlinematkaapp.in.net C2. Disk Enum VM tespiti. AES crypto.

악성코드 유형
RAT
프로그래밍 언어
C#/.NET
C2 프로토콜
TCP
대상 시스템
Windows

기술 세부 정보

C# .NET, AES sifreleme, TCP, Plugin tabanlı: RAT + Miner + Ransomware + Stealer, Clipboard Bitcoin hijacker, Monero madenci dahili, UAC bypass, Anti-analysis

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — LimeRAT
# SHA256 940e18e109ff6af1d6c8ab01f00746034ae67bfa36f25c4d0af3f7cd3f0df3a1
유형메모
sha256 940e18e109ff6af1d6c8ab01f00746034ae67bfa36f25c4d0af3f7cd3f0df3a1

C2 서버 (이 패밀리에 대해 5개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
kalyanonlinematkaapp.in.net domain 443 HTTPS active —
kalyanonlinematkaapp.in.net domain 443 HTTPS active —
hu88999.com domain 443 HTTPS inactive —
45.90.222.109 ip 1177 TCP inactive DE
88.198.47.34 ip 4444 TCP inactive DE

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
limeratratcleartext-c2schtaskskalicilikregistry-runonlogonpersistent