Manuel Statik Analiz — Gh0stRAT | Tehdit: ORTA
Dosya Kimliği
| SHA256 | f755d085c61879c1826368b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | [Çince Karakter]QQ[Çince Karakter].exe (QQ eğlence platformu tuzağı!) |
| Boyut | 826.368 byte (826KB) |
| String Sayisi | 29.161 |
Çince QQ Tuzağı
[CJK karakter]QQ[CJK karakter].exe -- "QQ" = Tencent QQ (Çin'in en büyük anlık mesajlaşma uygulaması) -- Çince karakterler: Çin pazarını hedefliyor -- QQ müzik, QQ oyun veya QQ dosya yükleyici olarak gizlenmiş -- Hedef: Çince konuşan kullanıcılar -- Gh0stRAT = 2008'den beri Çin APT grupları tarafından kullanılan RAT
RC4 Şifreli Config Pattern
262=2c2p2 ?1O1j1%2*2/2C2s2 2.2c2 -- RC4 şifreli config'den sızan byte pattern'leri -- "2c2" tekrarı: RC4 keystream ile XOR sonrası kalan "c2" referansları -- Gh0stRAT sabit "Gh0st" magic byte ve RC4 şifreli TCP payload -- Bu pattern'ler C2 adres/port verilerinin şifreli halinin kalıntıları
Delphi VCL Bileşeni
TConversion TConversionFormat -- Delphi VCL (Visual Component Library) sınıf adları -- Gh0stRAT bazı varyantları Delphi ile yazılmış -- TConversion: Delphi metin/encoding dönüşüm bileşeni -- TConversionFormat: format işleme
IOC
| SHA256 | f755d085c61879c1826368b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Çince QQ.exe (Çin hedefli) |
GhostRAT3 — Malware Profile
Gh0stRAT Cince QQ lure. RC4 sifretli C2 config. Delphi VCL. Cin APT kullanimi. 2008den beri aktif.
Malware Type
RAT
Programming Language
Delphi/C++
C2 Protocol
TCP RC4
Target Systems
Çin/Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — GhostRAT3
# SHA256
f755d085c61879c1826368b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | f755d085c61879c1826368b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |