Manuel Statik Analiz — RisePro Stealer | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| 파일 이름 | rise.exe (stealer'ın kendi marka adı!) |
| 크기 | 1.711.670 byte (1.63MB) |
| String Sayisi | 3.345 |
rise.exe: Kendi Marka Adıyla Binary
rise.exe -- "RisePro" stealerının kendi adıyla binary -- Geliştirici: markalaşma için ürün adını binary'ye koymuş -- Karşılaştır: meduza (Meduza), prick.exe (Quasar) -- Bu level OPSEC ihmal: sandbox'ta hemen tanınır
surrogate U+D800: JSON C2 Doğrulama
PROTOKOL: JSON Unicode doğrulama katmanı!
invalid string: surrogate U+D800..U+DBFF must be followed by U+DC00..U+DFFF -- UTF-16 vekil çifti (surrogate pair) doğrulama hatası -- U+D800..U+DBFF = yüksek vekil (high surrogate) -- U+DC00..U+DFFF = düşük vekil (low surrogate) -- JSON RFC 7159: geçersiz surrogate çifti → parse hatası -- RisePro: C2 iletişiminde JSON veri doğrulaması yapıyor -- Aynı hata: ValleyRAT, PikaBot, DanaBot → paylaşılan JSON kütüphanesi
IOC
| SHA256 | ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|
RisePro — 악성코드 프로필
RisePro stealer. rise.exe brand name. JSON Unicode surrogate validation. Triple anti-debug.
악성코드 유형
Infostealer
프로그래밍 언어
C++
C2 프로토콜
HTTP
대상 시스템
Windows
기술 세부 정보
Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri
기능 및 동작
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC 목록 (1 개 지표)
IOC — RisePro
# SHA256
ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | ce8d2e2881229050171670b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |