Manuel Statik Analiz — BruteRatel C4 Beacon | Tehdit: YUKSEK

Dosya Kimliği

SHA256c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adısteam_monitor_02F90000.dll
Boyut696.320 byte (696KB DLL)
String Sayisi1.569 (yoğun obfuskasyon)

Steam Kılığı: steam_monitor

steam_monitor_02F90000.dll
-- "steam_monitor" = Steam ağ izleme DLL'i gibi görünüyor
-- Steam oyuncular arasında yaygın → şüphe uyandırmaz
-- Gerçek Steam DLL isimlerine benzer: steam_api64.dll, steamclient.dll
-- DLL sideloading: meşru Steam.exe → steam_monitor DLL'ini yükler

DLL İsmine Gömülü Bellek Adresi: 0x02F90000

Nadir Teknik: DLL dosya adında yükleme adresi!
steam_monitor_02F90000.dll
-- "02F90000" = 0x02F90000 = bellek adresi (hexadecimal)
-- DLL'nin belleğe yükleneceği baz adresi dosya adına kodlanmış!
-- Bu teknik PE ASLR'yi atlatmada kullanılır:
  → LoadLibraryEx ile belirli adrese yükleme
  → Kod obfuskasyonu bellek adresine bağımlı
-- BruteRatel: her beacon için farklı bellek adresli DLL üretiyor

BruteRatel C4 Hakkında

BruteRatel C4 (Badger) 2020'de Chetan Nayak tarafından geliştirilen ve 2022'de crack edilen özel C2 framework. Cobalt Strike'ın gelişmiş rakibi. EDR/AV bypass için üretilmiş. Process injection, memory evasion, HTTPS/SMB C2. North Korea (Lazarus) ve Rus APT grupları tarafından 2022'de kırık kopya kullanıldı. Steam DLL sideloading ile tespitten kaçınma.

IOC

SHA256c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
DLLsteam_monitor_02F90000.dll (bellek adresi: 0x02F90000)

BruteRatel — Malware Profile

Brute Ratel C4 red team C2. steam_monitor DLL injection. TJC20MG session token. Registry persistence.

Malware Type
C2Framework
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Windows
Also Known As (AKA)
BRC4

Capabilities & Behavior

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

IOC List (1 indicators)

IOC — BruteRatel
# SHA256 c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
bruteratelbruteratel-c4steam-monitor-02f90000-dllsteam-disguisememory-address-in-dll-namedll-load-addressisdebuggerpresent