파일 Kimligi
| SHA256 | 13bab9f76e7c622ab1451b2e7eb9d48db4b4ed60f1a86e601aafbaaa4fa38b98 |
|---|---|
| Orijinal Ad | Scan#250226HPJetstar.exe |
| 크기 | 1.075.200 byte (~1.07 MB) |
| PE Tipi | PE32 (x86) — .NET Framework assembly |
| MD5 | 8b3d948676c373b378f16f6095f7fe5b |
| Sosyal Muhendislik | HP Jetstar yazici tonu bildirimi — Kurumsal BT/ofis personeli hedefi |
C2 Altyapisi
| C2 Port | 8918/TCP (binary'den cleartext cikartiildi, yuksek guven) |
|---|---|
| C2 Host | AES sifrelenmis NanoCore.Client.Settings kaynak blogu icerisinde |
| Protokol | TCP (NanoCore ozel protokol) |
Sosyal Muhendislik Analizi
파일 adi Scan#250226HPJetstar.exe — HP marka Jetstar yazici tonu bildirimi kiligi. Kurumsal ofis ortamlarinda calisan hedefler, HP yazicisinden gelen tarama belgesi oldugunu zannederek calistirir. 2025 Subat tarihli numara eklenmesi (250226) gercekciligi artirmak icin kullanilmistir. Havayolu/seyahat sektoru ile yazici yoneticisi hedefleme kombinasyonu ozgun bir sosyal muhendislik vektoru teskil etmektedir.
Teknik Analiz
| String Sayisi | 12.519 satir (strings -a -n 4 + UTF-16) |
|---|---|
| Sifreleme | NanoCore.Client.Settings: AES ile sifrelenmis embedded resource |
| C2 Port | 8918 (binary veride acik metin) |
NanoCore RAT Yetenekleri (Genel)
- Uzaktan kabuk (cmd.exe/PowerShell)
- 파일 yoneticisi: yukleme, indirme, silme, olusturma
- Keylogger: tus kaydi + aktif pencere izleme
- Ekran goru ntuleri (gercek zamanli)
- Kamera erisimi
- Proses yoneticisi: listeleme + sonlandirma
- Plugin sistemi: modul yuklenebilir mimari
- Port yonlendirme / uzak masaustu proxy
- Clipboard hirsizligi
- Parola kurtarma (tarayici + FTP istemcileri)
- Script calistirma (VBScript, PowerShell)
NanoCore Konfigurasyonu (Sifrelenmis)
NanoCore 1.x ailesi konfigurasyonunu NanoCore.Client.Settings adi verilen embedded .NET kaynaginda AES-256/128 ile sifrelenmis sekilde saklar. Bu sekilde: Build ID, C2 Host, C2 Port, Reconnect Delay, KeyLogger aktiflik durumu, Mutex, grup adi gibi parametreler statik analize karsi korunur.
Bu sampledaki C2 portunun 8918 olmasi (varsayilan 4782'den farkli), operator tarafindan ozellestirilmis bir NanoCore yapilandirmasi oldugunu gostermektedir.
IOC'lar
| SHA256 | 13bab9f76e7c622ab1451b2e7eb9d48db4b4ed60f1a86e601aafbaaa4fa38b98 |
|---|---|
| MD5 | 8b3d948676c373b378f16f6095f7fe5b |
| 파일 Adi | Scan#250226HPJetstar.exe (yazici sosyal muhendislik) |
| C2 Port | 8918/TCP (NanoCore) |
Nasil Kaldirilir?
- Ag engeli: Port 8918/TCP giden baglantilari guvenlik duvarindan kapat
- Process sonlandirma: .NET runtime altinda calisan suphelik islemi sonlandir
- Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Runaltinda suphelik kaydı sil - 파일 sil: AppData altindaki NanoCore agent dosyasini bul ve sil
- Uygulama loglarini kontrol et: NanoCore ozel port 8918 uzerinden giden baglantilari izle
- Tam AV tarama: Guncel imzali antivirus ile tarama yap
Teknik Ozet
NanoCore RAT 1.x — HP Jetstar yazici tonu sosyal muhendisligi kullanarak dagitilan, kurumsal BT/ofis personeIini hedef alan .NET tabanli uzaktan erisim trojanı. C2 portu 8918/TCP (varsayilan 4782'den farkli — operator ozellestirilmis yapilan dirma) binary icinde cleartext saptanmistir. Konfigurasyonun tamami (C2 host, mutex, Build ID, grup) AES sifrelenmis NanoCore.Client.Settings embedded kaynaginda saklandigi icin statik analizle tam IOC listesi olusturulamlmistir. Dinamik analiz veya NanoCore config decryptor gerektirmektedir.
NanoCore — 악성코드 프로필
NanoCore RAT .NET. HP scanner lures. FqStwIZtCP PDB path recurring. Plugin: GetConfig/SetConfig/conjugatePair.
기술 세부 정보
.NET, plugin tabanli (DLL eklentiler), AES-128 sifreleme, port TCP dinamik, Mutex rastgele GUID, GetAsyncKeyState keylogger, Clipboard monitor, Remote Shell (cmd.exe), Hidden VNC, Password Recovery
기능 및 동작
IOC 목록 (4 개 지표)
#
8918
#
Scan#250226HPJetstar.exe
# SHA256
13bab9f76e7c622ab1451b2e7eb9d48db4b4ed60f1a86e601aafbaaa4fa38b98
# MD5
8b3d948676c373b378f16f6095f7fe5b
| 유형 | 값 | 메모 |
|---|---|---|
| 8918 | ||
| Scan#250226HPJetstar.exe | ||
| sha256 | 13bab9f76e7c622ab1451b2e7eb9d48db4b4ed60f1a86e601aafbaaa4fa38b98 | |
| md5 | 8b3d948676c373b378f16f6095f7fe5b |
C2 서버 (이 패밀리에 대해 4개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| pk68.io | domain | 443 | HTTPS | inactive | — |
| 195.3.221.139 | ip | 4782 | TCP | inactive | RO |
| UNKNOWN_HOST | unknown | 8918 | TCP | inactive | — |
| 37.140.192.146 | ip | 7707 | TCP | sinkholed | UA |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.