Manuel Statik Analiz (LLM Okumali) — WarzoneRAT (Ave Maria) | Tehdit: KRITIK

파일 Kimligi

SHA256fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
String Sayisi1.740

패밀리 Teyit Stringleri

StringAnlami
warzoneTURBOWarzoneRAT mutex adi — aile teyidi
Ring3 CRAT x64 (PDB)Ring3 = kullanici modu (kernel surucusu olmayan) RAT

Gelistirici Izi — PDB Analizi

Dikkat: Bu ornekte IKI farkli PDB yolu bulunmaktadir. Biri gercek gelistiriciyi isaret eder, digeri kasitli yaniltici (false flag) yerlestirilmistir.
Gercek PDBC:\Users\W7H64\source\repos\Ring3 CRAT x64\Ring3 CRAT x64\nope.pdb
Yaniltici PDBC:\Users\Vitali Kremez\Documents\MidgetPorn\workspace\MsgBox.exe

Vitali Kremez, tanimli bir guvenlik arastirmacisidir. Bu yolun binary'ye eklenmesi analistleri yaniltmaya yonelik kasitli bir false flag stratejisidir. Gercek gelistirici kimlik bilgisi: W7H64

RDP Etkinlestirme (fDenyTSConnections)

fDenyTSConnections   (HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server)

WarzoneRAT, hedef sistemde RDP'yi etkinlestirmek icin bu registry degerini 0'a ayarlar. Bu, saldirganin kalici uzaktan erisime sahip olmasini saglar.

NT API Kullanimı (Anti-Debug / Derin Sistem Erisimi)

NtQuerySystemInformation     — Sistem/surec bilgisi (sandbox tespiti icin kullanilabilir)
NtQueryDirectoryFile         — Dosya sistemi sorgulama
NtQueryValueKey              — Registry deger sorgulama
NtQueryKey                   — Registry anahtar sorgulama
VirtualAllocEx / VirtualProtect — Bellek ayirma/koruma (injection icin)
CreateThread                 — Thread olusturma

WarzoneRAT Yetenekleri

  • Uzaktan kabuk (reverse shell)
  • Keylogger
  • HVNC (Gizli VNC — kurban ekrani gorunmeden)
  • UAC bypass
  • RDP etkinlestirme
  • 파일 yonetimi
  • Tarayici sifre calma
  • Webcam erisiimi
  • Process injection

IOC

SHA256fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
MutexwarzoneTURBO
PDB (Gercek)C:\Users\W7H64\source\repos\Ring3 CRAT x64\...\nope.pdb
RDP KayitfDenyTSConnections = 0
C2Sifrelenmis (dinamik analiz gerekli)

WarzoneRAT — 악성코드 프로필

WarzoneRAT Ave Maria RAT. 2026 itibariyla aktif. Tarih prefixli dagitim. Config karması 45A06E. Uclu anti-debug.

악성코드 유형
RAT
프로그래밍 언어
C++
C2 프로토콜
TCP
대상 시스템
Windows
다른 이름 (AKA)
Ave Maria

기술 세부 정보

C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli

귀속 / 위협 행위자

Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — WarzoneRAT
# SHA256 fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
유형메모
sha256 fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
185.216.36.143 ip 4500 TCP inactive BG
cloudflareprotected.xyz domain 5200 TCP inactive RU

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
warzoneratavemariaratring3mutex-warzoneTURBOrdp-aktiflestimepdb-W7H64nt-api