Manuel Statik Analiz — NetWire | Tehdit: 보통
파일 Kimliği
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 파일 이름 | x00f01750.exe (SHA256 hash önek ile sahte isim) |
| 크기 | 1.462.026 byte (1.4MB) |
| String Sayisi | 5.945 |
Üçlü Anti-Debug
GetTickCount64 -- 64-bit mikrosaniye sayacı (zamanlama saldırısı) IsDebuggerPresent -- Debugger API tespiti GetTickCount -- 32-bit sayaç (eski API paralel kontrol) -- Üçlü kontrol: farklı API'ler, farklı bypass metodları gerektirir -- GetTickCount64: tek başına bypass edilebilir; üçü birden zor
Control Panel Registry Keylogger Hedefleri
Control Panel\Mouse -- Fare hassasiyeti + hız ayarları Control Panel\Appearance -- Masaüstü görünüm/tema ayarları -- NetWire bu registry key'lerini okuyarak kullanıcı profilini çıkarır -- Mouse sensitivity → kullanıcı davranış imzası -- Appearance settings → kurumsal/kişisel cihaz ayrımı
IOC
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Anti-debug | GetTickCount64 + IsDebuggerPresent + GetTickCount |
NetWire — 악성코드 프로필
NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.
악성코드 유형
RAT
프로그래밍 언어
C
C2 프로토콜
TCP
대상 시스템
Windows/Linux/macOS
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — NetWire
# SHA256
00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |