Manuel Statik Analiz — NetWire | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 파일 이름 | x00f01750.exe (hash önek ismi — OPSEC) |
| 크기 | 1.462.026 byte (1.4MB) |
| String Sayisi | 5.945 |
CoSetProxyBlanket: COM Kimlik Doğrulama Bypass
COM BYPASS: WMI güvenlik kanalı devre dışı!
CoSetProxyBlanket (ole32.dll) -- COM proxy güvenlik ayarı değiştirme -- Tipik kullanım: CoSetProxyBlanket(pSvc, RPC_C_AUTHN_WINNT, ..., EOAC_NONE) -- "EOAC_NONE" = kimlik doğrulama yetenekleri: HİÇBİR -- Etki: WMI sorgularında authentication bypass -- NetWire: WMI üzerinden sistem bilgisi toplar → CoSetProxyBlanket ile engellenmeden -- Teknik: WMI + DCOM aracılığıyla sysinfo/process/network bilgisi
Hash Önek 파일 이름
x00f01750.exe -- "x" + kısaltılmış hash = anonim isim -- Görev yöneticisinde anlamsız, akılda kalmayan isim -- Her kurban için farklı hash → imza tabanlı AV'yi atlatır
IOC
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Teknik | CoSetProxyBlanket EOAC_NONE COM bypass |
NetWire — 악성코드 프로필
NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.
악성코드 유형
RAT
프로그래밍 언어
C
C2 프로토콜
TCP
대상 시스템
Windows/Linux/macOS
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — NetWire
# SHA256
00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |