Manuel Statik Analiz — DarkComet RAT | Tehdit: YUKSEK

Dosya Kimliği

SHA256a3fa75fe9b9c0ca945031aad9150f03fed9335850ab3c5a4f7d0e2b6c9f1a3d6
Dosya Adıf168pro.exe (f168 bahis platformu taklidi?)
Boyut354.816 byte
String Sayisi1.854

NT Kernel Anti-Debug

NtQuerySystemInformation  -- Kernel API ile debugger/sandbox tespiti

DarkComet C2 Config

123<67890ABC2   -- DarkComet C2 port+şifre config
DC2_?S          -- DarkComet C2 routing tag

DarkComet Hakkında

DarkComet, Jean-Pierre Lesueur (DarkCoderSc) tarafından 2008-2012 yılları arasında geliştirilen, sonra bırakılan RAT ailesidir. Suriye iç savaşında muhalefet üyelerine karşı kullanıldığı tespit edilerek geliştirici yayımlamayı durdurmuştur. Kaynak kodunun sızdırılmasıyla binlerce varyant ortaya çıkmış ve günümüzde hâlâ aktif kampanyalarda görülmektedir.

IOC

SHA256a3fa75fe9b9c0ca945031aad9150f03fed9335850ab3c5a4f7d0e2b6c9f1a3d6
TeknikNtQuerySystemInformation anti-debug

DarkComet2 — Malware Profile

DarkComet 2008 Fransız gelistirici. Facebook.exe sosyal medya lure. GateWay config. NoControlPanel. Orta Dogu/Afrika yaygın.

Malware Type
RAT
Programming Language
Delphi
C2 Protocol
TCP
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — DarkComet2
# SHA256 a3fa75fe9b9c0ca945031aad9150f03fed9335850ab3c5a4f7d0e2b6c9f1a3d6
TypeValueNote
sha256 a3fa75fe9b9c0ca945031aad9150f03fed9335850ab3c5a4f7d0e2b6c9f1a3d6
Tags
darkcometf168prontquerysysteminfoanti-debugdc2-configremote-access