Manuel Statik Analiz — Gh0stRAT | Tehdit: ORTA

Dosya Kimliği

SHA256f755d085c61879c1826368b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adı[Çince Karakter]QQ[Çince Karakter].exe (QQ eğlence platformu tuzağı!)
Boyut826.368 byte (826KB)
String Sayisi29.161

Çince QQ Tuzağı

[CJK karakter]QQ[CJK karakter].exe
-- "QQ" = Tencent QQ (Çin'in en büyük anlık mesajlaşma uygulaması)
-- Çince karakterler: Çin pazarını hedefliyor
-- QQ müzik, QQ oyun veya QQ dosya yükleyici olarak gizlenmiş
-- Hedef: Çince konuşan kullanıcılar
-- Gh0stRAT = 2008'den beri Çin APT grupları tarafından kullanılan RAT

RC4 Şifreli Config Pattern

262=2c2p2
?1O1j1%2*2/2C2s2
2.2c2
-- RC4 şifreli config'den sızan byte pattern'leri
-- "2c2" tekrarı: RC4 keystream ile XOR sonrası kalan "c2" referansları
-- Gh0stRAT sabit "Gh0st" magic byte ve RC4 şifreli TCP payload
-- Bu pattern'ler C2 adres/port verilerinin şifreli halinin kalıntıları

Delphi VCL Bileşeni

TConversion
TConversionFormat
-- Delphi VCL (Visual Component Library) sınıf adları
-- Gh0stRAT bazı varyantları Delphi ile yazılmış
-- TConversion: Delphi metin/encoding dönüşüm bileşeni
-- TConversionFormat: format işleme

IOC

SHA256f755d085c61879c1826368b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureÇince QQ.exe (Çin hedefli)

GhostRAT3 — Malware Profile

Gh0stRAT Cince QQ lure. RC4 sifretli C2 config. Delphi VCL. Cin APT kullanimi. 2008den beri aktif.

Malware Type
RAT
Programming Language
Delphi/C++
C2 Protocol
TCP RC4
Target Systems
Çin/Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — GhostRAT3
# SHA256 f755d085c61879c1826368b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 f755d085c61879c1826368b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
gh0stratchinese-qq-lureqq-music-lure262-2c2p2-rc4-configtconversion-delphi-vclchinese-targetingrc4-obfuscated-config