Manuel Statik Analiz — NanoCore RAT | Tehdit: YUKSEK

파일 Kimliği

SHA2564eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
파일 이름pk68.io.exe (C2 domain ismi!)
크기207.872 byte
String Sayisi2.145

C2 Domain 파일 이름nda

Tespit: C2 domain adı dosya ismine gömülmüş: pk68.io

ConfuserEx .NET Obfuskasyonu

#=qY9NY2gigPsj8X4CYx0UCT2vGlqkgsq6GuC2fWqP3Voc=
#=qtussAh$DpHFmu7s
-- ConfuserEx obfüskülenmiş .NET sembol isimleri (#=q prefix)

PBKDF2 + Bitcoin

Rfc2898DeriveBytes  -- AES şifreleme için PBKDF2 anahtar türetme
1abw3Kju8nMffXDIbl5na4zXqclsRK  -- NanoCore BTC cüzdanı
1CbaXqZpxrHWaxR5CiRO2OiaCLfsbSk -- NanoCore BTC cüzdanı #2

IOC

SHA2564eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
C2pk68.io (dosya adında)
BTC1abw3Kju8nMffXDIbl5na4zXqclsRK

NanoCore2 — 악성코드 프로필

NanoCore .NET RAT 2013. HP Jetstar scanner lure. Administrator PDB FqStwIZtCP. Plugin: keylogger webcam credential.

악성코드 유형
RAT
프로그래밍 언어
C#/.NET
C2 프로토콜
TCP
대상 시스템
Kuresel

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — NanoCore2
# SHA256 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
유형메모
sha256 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
태그
nanocoreratpk68ioconfuserex-obfuscationrfc2898pbkdf2btc-wallet