Manuel Statik Analiz — AresRAT (Python/Linux) | Tehdit: YUKSEK

Dosya Kimliği

SHA256d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Dosya Adımozella (Mozilla taklidi — Firefox değil!)
TipELF Linux Binary
Boyut6.346.808 byte (6.3MB)
String Sayisi27.688

Python PyInstaller Embedding

Teknik: Python RAT, PyInstaller ile tek ELF binary'e dönüştürülmüş!
PyImport_AddModule     -- Python C API: modül ekleme
PyImport_ExecCodeModule -- Python C API: kod modülü çalıştırma
PyImport_ImportModule  -- Python C API: modül importu
-- PyInstaller frozen binary imzaları

Python Kütüphane Referansları

requests.cookies(   -- Python requests kütüphanesi cookie hırsızlığı
http.cookies(       -- Python stdlib cookie modülü

AresRAT Hakkında

AresRAT, GitHub'da yayınlanan açık kaynak Python tabanlı cross-platform RAT'tır. Linux, Windows ve macOS'u hedefler. Keylogger, reverse shell, dosya transfer, ekran görüntüsü yeteneklerine sahiptir. PyInstaller ile tek binary'e derlenebilir. "mozella" adı Firefox'u taklit etmek için seçilmiştir.

IOC

SHA256d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Kamuflajmozella (Firefox taklidi)
TipPyInstaller frozen Python ELF

AresRAT — Malware Profile

AresRAT acik kaynak Python RAT. PyInstaller ELF. Linux/Windows/macOS. Keylogger, reverse shell.

Malware Type
RAT
Programming Language
Python
C2 Protocol
HTTP/TCP
Target Systems
Kuresel/Linux

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — AresRAT
# SHA256 d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
TypeValueNote
sha256 d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Tags
aresratpyinstallerlinux-elfpython-embeddedmozellarequests-library