Manuel Statik Analiz — Havoc C2 Framework Beacon | Tehdit: YUKSEK

Dosya Kimliği

SHA25695784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut1.143.296 byte (1.1MB beacon agent)
String Sayisi1.035 (yoğun obfuskasyon)

Üçlü VM Tespiti

VM Tespiti: 3 platform birden kontrol ediliyor!
vboxguest    -- VirtualBox guest agent driver (VirtualBox)
vboxmouse    -- VirtualBox mouse driver (VirtualBox)
vmware       -- VMware string (VMware Workstation/ESXi)
-- VirtualBox iki ayrı driver ile: vboxguest (genel) + vboxmouse (spesifik)
-- İkili VirtualBox kontrolü = daha kesin tespit
-- VMware + VirtualBox birlikte: neredeyse tüm sandbox ortamları

Global GUID Mutex

Global\{7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d}
-- Global namespace = sistem genelinde tek instance
-- GUID format mutex: her Havoc beacon için benzersiz
-- "7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d" = bu kampanyanın beacon GUID'i
-- Global mutex ile çift çalışma önlemi

DLP Browser Bypass Modülü

Kurumsal DLP Bypass:
DlpCommunicationChannel       -- Chrome/Edge DLP iletişim kanalı sorgulama
DlpIsWebsitePolicyConfigured  -- Web sitesi DLP politikası kontrol
DlpTestConfig                 -- DLP test konfigürasyonu
GetBrowserExtensio(n)         -- Tarayıcı uzantıları listeleme
-- DLP = Data Loss Prevention (Kurumsal veri sızıntısı koruması)
-- Havoc kurumsal DLP sistemlerini sorguluyor:
  1. DLP aktif mi? → şifreleme bypass yöntemine geç
  2. Hangi web siteleri engelleniyor? → farklı C2 domain seç
  3. Hangi uzantılar var? → DLP extension'ı bypass et
-- HEDEF: Kurumsal ağlardaki DLP atlatma (finans/sağlık/kamu sektörü)

Havoc C2 Hakkında

Havoc 2022'de C/Go ile yazılmış açık kaynaklı post-exploitation C2 framework. Cobalt Strike ve Brute Ratel alternatifi. Şifreli HTTPS/TCP beacon, process injection, token manipulation, lateral movement. DFIR ekipleri için kayıp: meşru pentest aracı olduğundan tespiti zor.

IOC

SHA25695784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
MutexGlobal\{7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d}

HavocC2 — Malware Profile

Havoc C2 framework 2022. vboxguest vboxmouse vmware VM triple detect. Global GUID mutex. DLP browser bypass modülü.

Malware Type
C2Framework
Programming Language
C/C++
C2 Protocol
HTTPS
Target Systems
Windows/Linux

Capabilities & Behavior

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

IOC List (1 indicators)

IOC — HavocC2
# SHA256 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
havoc-c2vboxguest-vboxmouse-vmware-triple-vmglobal-guid-mutex-7f3a9c2edlpcommunicationchanneldlp-browser-bypassdlp-bypass