Manuel Statik Analiz — GhostRAT (Gh0st) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 001628993305ca951273856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | 001628993305ca95[...].exe (hash isimli) |
| Boyut | 1.273.856 byte (1.21MB) |
| String Sayisi | 5.080 |
VC20XC00U: GhostRAT Karakteristik Mutex
MUTEX İMZA: GhostRAT'ın tanımlayıcı mutex değeri!
VC20XC00U (iki kez!) -- "VC20XC00U" = 9 karakter alfanumerik mutex -- İKİ kez tekrarlıyor: farklı bağlamlarda (CreateMutex + kontrol) -- GhostRAT: mutex ile sistemde zaten çalışıp çalışmadığını kontrol eder -- "VC20" = Visual C++ 2020? veya Version Code 20? -- "XC00U" = eXtended C00U (hex/hex-karışık)? -- Sabit: bu mutex değeri kampanya boyunca değişmiyor → imza olarak kullanılabilir
ChangeServiceConfig2A: Windows Servis Kalıcılığı
KALICILIK: Windows servis olarak kurulum!
ChangeServiceConfig2A -- "ChangeServiceConfig2" = servis açıklama ve diğer config'ini değiştir -- GhostRAT: Windows servisi olarak kurulur → reboot sonrası otomatik başlar -- "A" suffix = ANSI (ASCII) versiyonu -- Servis kayıt: HKLM\SYSTEM\CurrentControlSet\Services\[isim] -- Gizleme: meşru Windows servis adlarına benzer isim seçilir
IOC
| SHA256 | 001628993305ca951273856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Mutex | VC20XC00U |
| Kalıcılık | ChangeServiceConfig2A (Windows servisi) |
GhostRat — Malware Profile
GhostRAT Gh0st RAT. VC20XC00U mutex. ChangeServiceConfig2A service persistence. Ursprung: Chinese hackers.
Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — GhostRat
# SHA256
001628993305ca951273856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 001628993305ca951273856b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |