Derin PE Analizi — SnakeDeveloperRAT (.NET) | Tehdit: 보통
파일 Kimliği
| SHA256 | 536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e |
|---|---|
| 파일 이름 | PO.exe (Purchase Order — satın alma emri iş e-postası lürü) |
| 크기 | 968 KB (.NET PE32, .NET 4.x) |
PO.exe: İş Dünyası E-Postası Lürü
PO.exe -- "PO" = Purchase Order (Satın Alma Emri) -- Kurumsal hedef: tedarik zinciri, satın alma departmanları -- Senaryo: "PO.exe — Mayıs 2026 Sipariş Onayı.exe" gibi ekte gönderilir -- Hedef profil: şirket muhasebe/tedarik çalışanları → daha az teknik farkındalık -- Alternatif: "PO.pdf.exe" çift uzantısıyla gönderilebilir
snakedeveloper@gmail.com + IsmAvatar@gmail.com: Çift Geliştirici E-Postası
ATRİBÜSYON: İki geliştirici e-posta adresi RAT binary içinde gömülü!
snakedeveloper@gmail.com IsmAvatar@gmail.com -- Her iki adres birlikte görünüyor → aynı .NET framework/bileşenden geliyorlar -- "snakedeveloper": geliştiricinin tercih ettiği takma ad (LoL/gaming community'de yaygın) -- "IsmAvatar": belgelenmiş geliştirici; LightStrike ve diğer açık kaynak .NET araçları -- Bu çift kombinasyon: açık kaynak .NET bileşeninin bu RAT içine gömülmesi - Muhtemelen: bir obfuscation veya compression kütüphanesi - Kütüphanenin lisans bloğunda e-posta adresleri sabit - Kötü amaçlı yazılıma dolaylı atıf sağlıyor -- "snakedeveloper" takma adı siber tehdit araştırması için izlenebilir hedef
HotkeyScreenshot: Hotkey Tetiklemeli Ekran Görüntüsü Sistemi
HotkeyScreenshot (x2 kez görünüyor) -- "HotkeyScreenshot" = tuş kombinasyonu ile ekran görüntüsü al -- İki görünüm: hem fonksiyon ismi hem de olay yöneticisi (event handler) -- Hotkey dinleme: SetWindowsHookEx(WH_KEYBOARD) veya RegisterHotKey() ile tuş izleme -- Kullanım senaryoları: 1. Kurban PrtScn tuşuna bastığında → otomatik C2'ye yükle 2. Belirli tuş kombinasyonu (CTRL+SHIFT+S) → anlık ekran yakalama 3. Arka planda pasif ekran izleme: kurban özel pencereye odaklandığında tetikle -- Screenshot çerçevesi: Windows Forms gömülü → BitBlt veya Graphics.CopyFromScreen() -- Gönderim: ZLIB sıkıştırma → C2 sunucusuna HTTP POST
AllowPartiallyTrustedCallers: Kısmi 신뢰도 Sandbox Atlatma
[assembly: AllowPartiallyTrustedCallers] -- .NET güvenlik özelliği: tam güvenli (full-trust) assembly'in kısmi güvenli (partial-trust) ortamlardan çağrılabilmesine izin verir -- Normal: Internet Zone, sandboxed browser plugin = kısmi güven -- Bu attribute: RAT'ın sandboxed .NET ortamlarından (ClickOnce, XBAP) çağrılabilir olduğunu gösteriyor -- Potansiyel senaryo: Browser eklentisi veya ClickOnce dağıtımı üzerinden enfeksiyon
ZLIB.NET + Windows Forms: RAT 아키텍처si
ZLIB.NET (zlib.net) -- veri sıkıştırma kütüphanesi (C2 trafik sıkıştırma) ovh.org -- OVH ağ bileşeni veya bağlantı testi referansı System.Windows.Forms -- GUI bileşenlerle gelen RAT (builder arayüzü?) ImageListStreamer -- liste ikonu gömülü → Windows Forms UI widget -- Windows Forms GUI: bu RAT muhtemelen hem istemci (victim tarafı) hem yönetici (builder) arayüzüne sahip .NET projesi -- ZLIB.NET: ekran görüntüsü verilerini HTTP POST öncesinde sıkıştırıyor
IOC
| SHA256 | 536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e |
|---|---|
| Geliştirici E-posta | snakedeveloper@gmail.com |
| Geliştirici E-posta 2 | IsmAvatar@gmail.com |
| 패밀리 | SnakeDeveloperRAT |
SnakeDeveloperRAT — 악성코드 프로필
PO.exe custom .NET RAT. snakedeveloper@gmail.com IsmAvatar@gmail.com developer attribution emails. HotkeyScreenshot hotkey-triggered screenshot capture. AllowPartiallyTrustedCallers sandbox attribute. ZLIB.NET compression.
악성코드 유형
RAT
프로그래밍 언어
C#/.NET
C2 프로토콜
HTTP
대상 시스템
Küresel
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (1 개 지표)
IOC — SnakeDeveloperRAT
# SHA256
536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e |