Manuel Statik Analiz — AteraAgent (Meşru Araç Kötüye Kullanım) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | hmlineear.msi (rastgele isim — AteraAgent MSI yükleyicisi) |
| Boyut | 8.597.504 byte (8.2MB MSI) |
| String Sayisi | 42.630 |
Meşru RMM Aracı Saldırısı: Living Off The Land
UYARI: AteraAgent = Meşru yazılım, ama saldırganlar tarafından kötüye kullanılıyor!
AteraAgent (Atera Networks) = Yasal IT yönetim aracı -- Sistem yöneticileri tarafından BT desteği için kullanılıyor -- Uzaktan dosya yönetimi, komut çalıştırma, süreç izleme -- Antivirüs tarafından ENGELLENMEZ (imzalı, meşru yazılım!) -- Saldırganlar: kurban makineye izinsiz AteraAgent kurar → 7/24 uzaktan erişim elde eder → AV/EDR alarm vermez → Kalıcılık: Windows Service olarak kurulur
MSI Yükleyici Detayları
hmlineear.msi — AteraAgent MSI paketi -- "hmlineear" = rastgele karıştırılmış isim (kimlik gizleme) -- İçindeki domain: ps.atera.com/installers/dotnet/NDP472-K... -- .NET 4.7.2 gereksinimi: ps.atera.com'dan indirir -- Kayıt URL: dot.net/v1/dotnet-install.ps1 (Microsoft .NET installer) -- AteraAgent customer ID gömülü MSI içine → hangi saldırgan hesabına bağlanacağı
IOC
| SHA256 | 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Yöntem | Meşru RMM aracı (AteraAgent) yetkisiz kurulum |
| Tehlike | AV bypass + kalıcı uzaktan erişim |
AteraRAT — Malware Profile
AteraAgent meşru RMM araci kötüye kullanim. Living off the land. AV bypass. hmlineear.msi randomize isim. ps.atera.com üzerinden kurulum.
Malware Type
RAT
Programming Language
Commercial RMM
C2 Protocol
HTTPS RMM
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — AteraRAT
# SHA256
60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |