Genel Bakis
Bu ornek, PDB izinde Ring3 CRAT x64 adi gecen ve icinde warzoneTURBO string'i barindiran 156KB'lik credential harvesting RAT'dir. Chrome, Edge, Epic Privacy Browser ve Firefox'tan sifre cesni yaparken process injection ve Windows BCrypt API kullanan bu RAT, WarzoneRAT altyapisindan yararlanmaktadir.
Teknik Analiz
WarzoneRAT / Ring3 CRAT Tespiti
- PDB:
C:\Users\W7H64\source\repos\Ring3 CRAT x64\Ring3 CRAT x64\nope.pdb warzoneTURBO— WarzoneRAT turbo modu goruntusuInjecting64— 64-bit injection metodu
Tarayici Kimlik Bilgisi Calma
select signon_realm, origin_url, username_value, password_value from logins
select signon_realm, origin_url, username_value, password_value from wow_logins
- Chrome:
\Google\Chrome\User Data\Default\Login Data - Edge:
\Microsoft\Edge\User Data\Local State - Epic Privacy Browser:
\Epic Privacy Browser\User Data\Default\Login Data - Firefox:
PK11SDR_Decrypt,PK11_CheckUserPassword encryptedUsername,encryptedPassword— Firefox sifreli alanlar
BCrypt API Sifre Cozme
BCryptDecrypt— Chrome sifre cozmeBCryptOpenAlgorithmProvider— algoritma saglayicisiBCryptSetProperty— AES-GCM ozelligiBCryptGenerateSymmetricKey— simetrik anahtar
Process Injection
VirtualAllocEx,WriteProcessMemory,CreateRemoteThreadURLDownloadToFileW— ikincil payload indirme
Izleri Silme
cmd.exe /C ping 1.2.3.4 -n 2 -w 1000 > Nul & Del /f /q
Teknik Ozellikler
| Ozellik | 값 |
|---|---|
| Format | PE32 GUI Intel 80386 |
| 크기 | 156.160 bayt |
| Entropi | 6.37 (normal) |
| Hedefler | Chrome, Edge, Epic, Firefox |
| Kripto | BCrypt (AES-GCM decryption) |
| Injection | VirtualAllocEx+WriteProcessMemory+CreateRemoteThread |
| Gelistirici | W7H64 |
IOC Ozeti
- SHA256:
fee959ff12e4ac5df67164ed83565a768d1286263bed759a32dcbe668ef6390f
WarzoneRAT — 악성코드 프로필
WarzoneRAT Ave Maria RAT. 2026 itibariyla aktif. Tarih prefixli dagitim. Config karması 45A06E. Uclu anti-debug.
기술 세부 정보
C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli
귀속 / 위협 행위자
Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.
기능 및 동작
IOC 목록 (1 개 지표)
# SHA256
fee959ff12e4ac5df67164ed83565a768d1286263bed759a32dcbe668ef6390f
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | fee959ff12e4ac5df67164ed83565a768d1286263bed759a32dcbe668ef6390f |
C2 서버 (이 패밀리에 대해 2개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| 185.216.36.143 | ip | 4500 | TCP | inactive | BG |
| cloudflareprotected.xyz | domain | 5200 | TCP | inactive | RU |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.