Manuel Statik Analiz (LLM Okumali) — NetWireRAT | Tehdit: YUKSEK

파일 Kimligi

SHA256e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
Orijinal AdHost.exe
크기64.512 byte

C2 Altyapisi — HTTP CONNECT Tunel

Binary icerisinde HTTP CONNECT protokolu ile C2 tünelleme kodu bulunmaktadir. NetWireRAT bu yöntemi kurumsal proxy'leri asmak icin kullanmaktadir.
FCONNECT %s:%d HTTP/1.0       <-- HTTP CONNECT format stringi
Host: %s                       <-- HTTP Host header
Connection: close

Hedeflenen Kimlik Bilgileri

HedefIndicator
Pidgin IM.purple\accounts.xml
POP3 EmailPOP3 Password
IMAP EmailIMAP Password
HTTP KimlikHTTP Password
SMTP KimlikSMTP Password

Bilinen NetWire Yetenekleri

  • Uzaktan kabuk (remote shell)
  • Keylogger
  • Email istemcisi sifre calma
  • Pidgin/IM sifre calma
  • 파일 yonetimi
  • Registry islemleri
  • HTTP CONNECT ile proxy atlama

IOC

SHA256e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
파일Host.exe
C2 ProtokolHTTP CONNECT tunel
C2Sifrelenmis config (dinamik analiz gerekli)

NetWire — 악성코드 프로필

NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.

악성코드 유형
RAT
프로그래밍 언어
C
C2 프로토콜
TCP
대상 시스템
Windows/Linux/macOS

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — NetWire
# SHA256 e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
유형메모
sha256 e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
태그
netwirerathttp-connect-tunnelc2pidginemail-stealercredential-theft