Manuel Statik Analiz — CraxsRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 12f2b7dc2ce5d510597602b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Craxs.rar (kendi adıyla RAR dağıtım!) |
| Boyut | 5.976.020 byte (5.7MB) |
| String Sayisi | 28.232 |
Kendi Adıyla Dağıtım: Craxs.rar
NOT: Saldırgan kendi RAT adını kullanıyor!
Craxs.rar Craxs.exe ← RAR içindeki birincil çalıştırılabilir Built.exe ← İkincil yük (compiled/packed payload) -- CraxsRAT = hem Windows hem Android RAT -- "Craxs" = eski İngilizce "crack" (kırma) kelimesinin yazımı -- Self-named dağıtım → düşük OPSEC (saldırgan araç adını gizlemiyor)
Dört C2 Substring
C2 KALIPLAR:
sI_C2? -- C2 adres parçası (büyük/küçük mix) 6>c2 -- Düşük ASCII + c2 referans Vc2*o -- V prefix c2 pattern VC2Q! -- Büyük harf VC2Q dizisi -- Dört farklı c2 substring = şifreli C2 adresi binary içine gömülü -- Aynı XOR/RC4 şifreli C2 adresinin farklı offset'lerinden gelen parçalar
Anahtar Fragmanı
TB<kEyH~ -- "kEyH" = "key hash" veya anahtar parçası -- Şifreleme anahtarının binary içindeki izleri -- CraxsRAT AES şifreleme kullandığı biliniyor
IOC
| SHA256 | 12f2b7dc2ce5d510597602b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Craxs.rar kendi adı (düşük OPSEC) |
| Dosyalar | Craxs.exe, Built.exe |
CraxsRAT — Malware Profile
CraxsRAT hem Windows hem Android RAT. Craxs.rar kendi adiyla dagitim. Built.exe ikincil yuk. dört C2 substring.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/HTTP
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — CraxsRAT
# SHA256
12f2b7dc2ce5d510597602b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 12f2b7dc2ce5d510597602b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |