Manuel Statik Analiz (LLM Okumali) — NjRAT (Bladabindi) | Tehdit: YUKSEK

파일 Kimligi

SHA25639cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
크기95.232 byte
Platform.NET 2.0 (v2.0.50727)
String Sayisi998

패밀리 Tespit Imzalari

NjRAT imzalari string analizi sonucunda dogrulandi:
avicap32.dll              -- Webcam API kutuphanesi (NjRAT cam ozelliginin imzasi)
capGetDriverDescriptionA  -- Webcam surucu listeleme (NjRAT'a ozgu)
CsAntiProcess             -- NjRAT'in anti-AV/process killing modulu
TcpClient                 -- TCP baglanti objesi
GZipStream                -- Veri sikistirma (exfiltration oncesi)
Socket / Connect          -- Agdan ag iletisimi
Screen / get_PrimaryScreen / CopyFromScreen  -- Ekran yakalama
ClipboardProxy / Clipboard   -- Pano erisimi
GetActiveTcpConnections   -- Aktif TCP baglanti listesi
timx_run / timy_run       -- Timer tabanli geri arama

NjRAT Yetenekleri

OzellikDetay
Webcamavicap32.dll ile canli goruntuleme
KeyloggerGetAsyncKeyState tabanli tus kaydi
ScreenshotCopyFromScreen ile ekran goruntusu
ClipboardPano iceriklerini oku/degistir
파일 YonetimiUpload/download, silme, olusturma
Komut SatiriUzaktan cmd/PowerShell
Anti-AVCsAntiProcess ile AV proseslerini kapat
SikistirmaGZip ile veri sikistirma (bant genisligi)

NjRAT Hakkinda

NjRAT (Bladabindi olarak da bilinir), 2013 yilinda nj/njq8 takma adiyla bilinen bir gelistirici tarafindan Orta Dogu'daki kullanicilari hedefleyerek yazilmistir. VB.NET tabanlidir ve acik kaynak kodundan turetilen onlarca varyanti mevcuttur. Orta Dogu, Kuzey Afrika ve Asya'da yaygin; hukumet ve ordu kurumlarini hedef alan APT gruplarinca da kullanilmaktadir.

IOC

SHA25639cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
Imzalaravicap32.dll, capGetDriverDescriptionA, CsAntiProcess
Platform.NET v2.0.50727
C2Runtime (TcpClient hardcoded config)

NjRAT — 악성코드 프로필

njRAT Bladabindi. Spanish cotizacion lure. get_Panel1 C2 panel. MENA + Latin America targeting.

악성코드 유형
RAT
프로그래밍 언어
VB.NET
C2 프로토콜
TCP (varsayilan port 1177)
대상 시스템
Windows
다른 이름 (AKA)
Bladabindi, H-Worm, houdini

기술 세부 정보

TCP port 1177 (varsayilan), XOR tabanlı iletisim sifreleme, .NET Framework 2.0+, Mutex: {GUID}, Registry Run key persistence, Keylogger (GetAsyncKeyState), clipboard monitor, screenshot, remote shell, remote camera

귀속 / 위협 행위자

Arap dilli siber suc topluluklari, en cok MENA (Orta Dogu ve Kuzey Afrika) bolgesindeki gruplar. Yasama savasi donemi Suriyeli gruplar tarafindan da kullanilmistir.

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — NjRAT
# SHA256 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
유형메모
sha256 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13

C2 서버 (이 패밀리에 대해 8개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
comodoca.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
comodoca.com domain — TCP active —
microsoft.com domain — TCP active —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
njratbladabindiwebcamavicap32csantiprocesstcpclientkeyloggerscreenshot