Manuel Statik Analiz — Havoc C2 Framework Demon | Tehdit: KRITIK

Dosya Kimliği

SHA2568a69ef840fcf206dd200c2013f1480d9faf6f7359ce5b4a1c3d8f7e0a2b9c6d5
Boyut118.784 byte
String Sayisi595 (yoğun sıkıştırma)

Windows CAPI Şifreleme Kanıtı

CryptDecrypt    -- CAPI: Şifreli C2 iletişim deşifreleme
CryptImportKey  -- CAPI: AES/RC4 anahtarı import
CryptSetKeyParam -- CAPI: Anahtar parametresi (IV/mode)
CryptDestroyKey  -- CAPI: Anahtar temizleme

Havoc C2 Hakkında

Havoc Framework, 2022'de açık kaynak yayımlanan modern C2 çerçevesidir. Demon adı verilen implant HTTPS/SMB C2, AMSI bypass, ETW bypass, PE enjeksiyonu, token manipülasyonu ve BOF (Beacon Object File) desteği sunar. APT grupları ve pentest firmalarının kampanyalarında tespit edilmiştir.

IOC

SHA2568a69ef840fcf206dd200c2013f1480d9faf6f7359ce5b4a1c3d8f7e0a2b9c6d5
ŞifrelemeCAPI (CryptDecrypt + CryptImportKey)
C2HTTPS/SMB (şifreli)

HavocC2 — Malware Profile

Havoc C2 framework 2022. vboxguest vboxmouse vmware VM triple detect. Global GUID mutex. DLP browser bypass modülü.

Malware Type
C2Framework
Programming Language
C/C++
C2 Protocol
HTTPS
Target Systems
Windows/Linux

Capabilities & Behavior

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

IOC List (1 indicators)

IOC — HavocC2
# SHA256 8a69ef840fcf206dd200c2013f1480d9faf6f7359ce5b4a1c3d8f7e0a2b9c6d5
TypeValueNote
sha256 8a69ef840fcf206dd200c2013f1480d9faf6f7359ce5b4a1c3d8f7e0a2b9c6d5
Tags
havocc2-frameworkdemoncapikriptografisifrelenmis