Manuel Statik Analiz — AresRAT (Python/Linux) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4 |
|---|---|
| Dosya Adı | mozella (Mozilla taklidi — Firefox değil!) |
| Tip | ELF Linux Binary |
| Boyut | 6.346.808 byte (6.3MB) |
| String Sayisi | 27.688 |
Python PyInstaller Embedding
Teknik: Python RAT, PyInstaller ile tek ELF binary'e dönüştürülmüş!
PyImport_AddModule -- Python C API: modül ekleme PyImport_ExecCodeModule -- Python C API: kod modülü çalıştırma PyImport_ImportModule -- Python C API: modül importu -- PyInstaller frozen binary imzaları
Python Kütüphane Referansları
requests.cookies( -- Python requests kütüphanesi cookie hırsızlığı http.cookies( -- Python stdlib cookie modülü
AresRAT Hakkında
AresRAT, GitHub'da yayınlanan açık kaynak Python tabanlı cross-platform RAT'tır. Linux, Windows ve macOS'u hedefler. Keylogger, reverse shell, dosya transfer, ekran görüntüsü yeteneklerine sahiptir. PyInstaller ile tek binary'e derlenebilir. "mozella" adı Firefox'u taklit etmek için seçilmiştir.
IOC
| SHA256 | d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4 |
|---|---|
| Kamuflaj | mozella (Firefox taklidi) |
| Tip | PyInstaller frozen Python ELF |
AresRAT — Malware Profile
AresRAT acik kaynak Python RAT. PyInstaller ELF. Linux/Windows/macOS. Keylogger, reverse shell.
Malware Type
RAT
Programming Language
Python
C2 Protocol
HTTP/TCP
Target Systems
Kuresel/Linux
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — AresRAT
# SHA256
d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
| Type | Value | Note |
|---|---|---|
| sha256 | d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4 |