Manuel Statik Analiz (LLM Okumali) — NetWireRAT | Tehdit: YUKSEK
파일 Kimligi
| SHA256 | e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f |
|---|---|
| Orijinal Ad | Host.exe |
| 크기 | 64.512 byte |
C2 Altyapisi — HTTP CONNECT Tunel
Binary icerisinde HTTP CONNECT protokolu ile C2 tünelleme kodu bulunmaktadir. NetWireRAT bu yöntemi kurumsal proxy'leri asmak icin kullanmaktadir.
FCONNECT %s:%d HTTP/1.0 <-- HTTP CONNECT format stringi Host: %s <-- HTTP Host header Connection: close
Hedeflenen Kimlik Bilgileri
| Hedef | Indicator |
|---|---|
| Pidgin IM | .purple\accounts.xml |
| POP3 Email | POP3 Password |
| IMAP Email | IMAP Password |
| HTTP Kimlik | HTTP Password |
| SMTP Kimlik | SMTP Password |
Bilinen NetWire Yetenekleri
- Uzaktan kabuk (remote shell)
- Keylogger
- Email istemcisi sifre calma
- Pidgin/IM sifre calma
- 파일 yonetimi
- Registry islemleri
- HTTP CONNECT ile proxy atlama
IOC
| SHA256 | e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f |
|---|---|
| 파일 | Host.exe |
| C2 Protokol | HTTP CONNECT tunel |
| C2 | Sifrelenmis config (dinamik analiz gerekli) |
NetWire — 악성코드 프로필
NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.
악성코드 유형
RAT
프로그래밍 언어
C
C2 프로토콜
TCP
대상 시스템
Windows/Linux/macOS
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — NetWire
# SHA256
e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f |