Manuel Statik Analiz — DarkComet RAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | a3fa75fe9b9c0ca945031aad9150f03fed9335850ab3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| Dosya Adı | f168pro.exe (f168 bahis platformu taklidi?) |
| Boyut | 354.816 byte |
| String Sayisi | 1.854 |
NT Kernel Anti-Debug
NtQuerySystemInformation -- Kernel API ile debugger/sandbox tespiti
DarkComet C2 Config
123<67890ABC2 -- DarkComet C2 port+şifre config DC2_?S -- DarkComet C2 routing tag
DarkComet Hakkında
DarkComet, Jean-Pierre Lesueur (DarkCoderSc) tarafından 2008-2012 yılları arasında geliştirilen, sonra bırakılan RAT ailesidir. Suriye iç savaşında muhalefet üyelerine karşı kullanıldığı tespit edilerek geliştirici yayımlamayı durdurmuştur. Kaynak kodunun sızdırılmasıyla binlerce varyant ortaya çıkmış ve günümüzde hâlâ aktif kampanyalarda görülmektedir.
IOC
| SHA256 | a3fa75fe9b9c0ca945031aad9150f03fed9335850ab3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| Teknik | NtQuerySystemInformation anti-debug |
DarkComet2 — Malware Profile
DarkComet 2008 Fransız gelistirici. Facebook.exe sosyal medya lure. GateWay config. NoControlPanel. Orta Dogu/Afrika yaygın.
Malware Type
RAT
Programming Language
Delphi
C2 Protocol
TCP
Target Systems
Kuresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — DarkComet2
# SHA256
a3fa75fe9b9c0ca945031aad9150f03fed9335850ab3c5a4f7d0e2b6c9f1a3d6
| Type | Value | Note |
|---|---|---|
| sha256 | a3fa75fe9b9c0ca945031aad9150f03fed9335850ab3c5a4f7d0e2b6c9f1a3d6 |