Manuel Statik Analiz — GhostRAT (Gh0st) | Tehdit: YUKSEK

Dosya Kimliği

SHA256001628993305ca951273856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adı001628993305ca95[...].exe (hash isimli)
Boyut1.273.856 byte (1.21MB)
String Sayisi5.080

VC20XC00U: GhostRAT Karakteristik Mutex

MUTEX İMZA: GhostRAT'ın tanımlayıcı mutex değeri!
VC20XC00U (iki kez!)
-- "VC20XC00U" = 9 karakter alfanumerik mutex
-- İKİ kez tekrarlıyor: farklı bağlamlarda (CreateMutex + kontrol)
-- GhostRAT: mutex ile sistemde zaten çalışıp çalışmadığını kontrol eder
-- "VC20" = Visual C++ 2020? veya Version Code 20?
-- "XC00U" = eXtended C00U (hex/hex-karışık)?
-- Sabit: bu mutex değeri kampanya boyunca değişmiyor → imza olarak kullanılabilir

ChangeServiceConfig2A: Windows Servis Kalıcılığı

KALICILIK: Windows servis olarak kurulum!
ChangeServiceConfig2A
-- "ChangeServiceConfig2" = servis açıklama ve diğer config'ini değiştir
-- GhostRAT: Windows servisi olarak kurulur → reboot sonrası otomatik başlar
-- "A" suffix = ANSI (ASCII) versiyonu
-- Servis kayıt: HKLM\SYSTEM\CurrentControlSet\Services\[isim]
-- Gizleme: meşru Windows servis adlarına benzer isim seçilir

IOC

SHA256001628993305ca951273856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
MutexVC20XC00U
KalıcılıkChangeServiceConfig2A (Windows servisi)

GhostRat — Malware Profile

GhostRAT Gh0st RAT. VC20XC00U mutex. ChangeServiceConfig2A service persistence. Ursprung: Chinese hackers.

Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — GhostRat
# SHA256 001628993305ca951273856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 001628993305ca951273856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
ghostratgh0stvc20xc00u-characteristic-mutexchangeserviceconfig2a-service-installtriple-gettickcountcompadmin-desktop-pathservice-persistence