Genel Bakış

Bu örnek, Snake KeyloggerCelesty Binder ile paketlenmiş ve Telegram üzerinden C2 iletişimi kuran gelişmiş bir malware paketidir. İçerisinde birden fazla bileşen barındırmakta; şifre çalma, klavye kaydı ve Telegram bot üzerinden veri sızdırma yeteneklerine sahiptir.

Bileşen Analizi

Snake Keylogger

  • -------- Snake Keylogger -------- dizesi 59 kez tekrarlanıyor (her bileşen kopyasında)
  • | Snake Keylogger dahili tanımlayıcısı
  • Klavye kaydı, şifre toplama, tarayıcı veri hırsızlığı
  • get_encryptedPassword → şifreli parola çalma

Celesty Binder (DarkCoderSc)

  • PDB yolu: C:\Users\DarkCoderSc\Desktop\Celesty Binder\Stub\STATIC\Stub.pdb
  • DarkCoderSc — Celesty Binder'ın Fransız geliştirici yazarı
  • Snake Keylogger bu binder ile paketlenip dağıtılmıştır

Ring3 CRAT x64 (Credential RAT)

  • PDB yolu: C:\Users\W7H64\source\repos\Ring3 CRAT x64\Ring3 CRAT x64\nope.pdb
  • Ring 3 (user-mode) kimlik bilgisi toplama aracı x64

Telegram C2 İletişimi

  • https://api.telegram.org/bot
  • /sendMessage?chat_id= — metin mesaj gönderme
  • /sendDocument?chat_id= — dosya (çalınan veri) gönderme
  • İlk IP: http://checkip.dyndns.org/ — kurbanın IP adresini öğrenme
  • icoremail.net — e-posta sunucusu hedefi

Şifreleme

  • BCrypt kullanımı: BCRYPT_AUTHENTICATED_CIPHER_MODE_INFO
  • RSA: BCRYPT_OAEP_PADDING_INFO, BCRYPT_PSS_PADDING_INFO
  • Çalınan veriler şifreli olarak Telegram'a gönderilmektedir

Ek Bulgular

  • Drop dosyası: YFGGCVyufgtwfyuTGFWTVFAUYVF.exe (rastgele isim)
  • RDP kötüye kullanımı: [experimental] patch Terminal Server service to allow multiples users
  • Minesweeper GitHub bağlantısı (kamuflaj amaçlı gömülü)

Teknik 속성ler

속성
패밀리leriSnake Keylogger + Celesty Binder + Ring3 CRAT x64
크기515.584 bayt
C2 프로토콜Telegram Bot API (HTTPS)
IP Tespiticheckip.dyndns.org
ŞifrelemeBCrypt AES + RSA OAEP

IOC Özeti

  • C2: https://api.telegram.org/bot
  • IP Check: http://checkip.dyndns.org/
  • PDB: C:\Users\DarkCoderSc\Desktop\Celesty Binder
  • PDB: C:\Users\W7H64\source\repos\Ring3 CRAT x64
  • SHA256: 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec

Snake Keylogger — 악성코드 프로필

Snake Keylogger (404 Keylogger olarak da bilinir), .NET ile gelistirilmis cok kanalli bir bilgi hirsizı ve keylogger. SMTP, FTP ve Telegram bot API araciligiyla ceyrilen verileri (sifre, ekran goruntüsü, pano icerik, tus kaydi) exfiltre eder.

악성코드 유형
Infostealer
프로그래밍 언어
.NET (C#)
C2 프로토콜
SMTP/FTP/Telegram
대상 시스템
Küresel

기능 및 동작

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC 목록 (4 개 지표)

IOC — Snake Keylogger
# SHA256 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec # DOMAIN api.telegram.org # DOMAIN checkip.dyndns.org # DOMAIN icoremail.net
유형메모
sha256 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec
domain api.telegram.org
domain checkip.dyndns.org
domain icoremail.net
태그
snake-keyloggerkeyloggercelesty-binderdarkcodersctelegramc2ring3-cratstealerbcryptrsacredential-theftrdp