Manuel Statik Analiz (LLM Okumali) — DarkComet RAT | Tehdit: HIGH
Dosya Kimligi
SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
Orijinal Ad f168pro.exe
Boyut 762.880 byte (~745 KB)
MD5 ef5fb48c0f5d26272002fb779dec0c47
Dil Delphi (Pascal) — native Windows PE
C2 Altyapisi
DarkComet C2 adresi (TSocketHost/TSocketPort), binary icerisinde sifreli/gizli sekilde saklanmaktadir.
Statik analizle host bilgisi elde edilemedi; dinamik analiz gerekmektedir.
C2 Host Sifrelenmis konfigurasyonda
C2 Port Sifrelenmis konfigurasyonda
Soket Komponenti TSocketHost / TSocketPort (Delphi network bileseni)
Protokol TCP (DarkComet ozel protokol)
Tespit Edilen Yetenekler
Network ve C2
Delphi TIpSocket bileseni ile TCP baglantisi
WSAStartup / WSACleanup — soket baslangici
0.0.0.0 bind (dinleme portu) / giden baglanti destegi
Proses ve Sistem
Proses listeleme: CreateToolhelp32Snapshot, Process32First/Next
Thread ve modul listeleme: Thread32First/Next, Module32First/Next
Bellek okuma: Toolhelp32ReadProcessMemory
Dinamik kutuphane yukleme: BTMemoryLoadLibrary (in-memory/yansimali yukleme)
Import tablosu olusturma: BuildImportTable
Kalicilik
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM ve HKCU run kayitlari
MSConfig startup kaydinin gizlenmesi: SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
Hosts Dosyasi Manipülasyonu
drivers\etc\hosts dosyasini degistirerek DNS yonlendirme
UAC etkinse hosts dosyasina erisim engellenmektedir (bu durumu bildirir)
IOC'lar
SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
MD5 ef5fb48c0f5d26272002fb779dec0c47
Dosya f168pro.exe
C2 Sifrelenmis (dinamik analiz gerekli)
Nasil Kaldirilir?
Process sonlandirma: f168pro.exe veya atanmis process ismi olan islemi sonlandir
Registry temizle: HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run altindaki supheli girisler
MSConfig: Startup sekmesinden DarkComet baslatma kayitlarini kaldir
Hosts dosyasi: C:\Windows\System32\drivers\etc\hosts icindeki yabanci girisleri temizle
Tam AV tarama: Güncel imzali tarama yap
Teknik Ozet
DarkComet RAT — Delphi ile yazilmis tarihi ve hala aktif olan uzaktan erisim Trojanı.
C2 konfigurasyonu sifrelenmis binary icerisinde saklandigindan statik analizle host/port bilgisi
elde edilememistir. Tespit edilen yetenekler: proses listeleme, dinamik/yansimali DLL yukleme
(BTMemoryLoadLibrary), hosts dosyasi manipülasyonu ve registry kalicilik mekanizmasi.
DarkComet — Malware Profile
DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.
Programming Language
Delphi
Technical Details
Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer
IOC List
(3 indicators)
#
f168pro.exe
# SHA256
b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
# MD5
ef5fb48c0f5d26272002fb779dec0c47
Type Value Note
f168pro.exe
sha256
b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
md5
ef5fb48c0f5d26272002fb779dec0c47
C2 Servers
(1 recorded servers for this family)
Address
Type
Port
Protocol
Status
Country
dkcomet.dedyn.io
domain
1604
TCP
inactive
DE
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.