Statik Analiz — JavaRAT (malware.jar) | Tehdit: YÜKSEK

Dosya Kimliği

SHA2564b28b77566b9ae09894d3b67030bdfd49a74ea16ac0c0839106109f97684ed48
Dosya Adımalware.jar (1,668,827 byte — Java archive)
TürJava Archive (JAR), cross-platform (Windows/Linux/macOS)

b86c11.cc: C2 Domain

C2 DOMAIN: b86c11.cc — Java RAT komuta kontrol sunucusu!
b86c11.cc
-- ".cc" TLD: Cocos Adaları, C2 altyapısında sıkça kullanılan TLD
-- "b86c11" = hex/alfanümerik kampanya tanımlayıcısı (DGA benzeri)
-- JAR içinde obfuskeli Java string'leri arasında gizlenmiş
-- Java RAT iletişim akışı:
  1. Java → socket → b86c11.cc:4444 (veya custom port)
  2. C2 komut gönder → RAT çalıştır
  3. Sonuçları geri gönder
-- Java RAT'ler Java yüklü her sistemde çalışır: çapraz platform tehdit

icon.png: Steganografik Payload (Targa Format)

JAR içinde: icon.png (678,147 byte)
Gerçek format: Targa image (TGA) — PNG değil!

-- "icon.png" ismi ama içerik Targa formatında
-- Steganografi: veri piksel değerleri arasına gizlenmiş
-- 257x257 = 66,049 piksel → her piksel 3 byte = ~198KB veri kapasitesi
-- Gizlenen veri: muhtemelen şifreli konfigürasyon veya ikincil payload

-- Steganografi teknikleri:
  LSB (Least Significant Bit): her pikselin son biti
  DCT steganografi: JPEG benzeri dönüşüm tabanlı gizleme
  Dosya sonu ekleme (EOF append): Targa'nın sonuna binary ekli

-- JAR'da sahte PNG: Java sınıf yükleyicisi bunu okur → gizli veriyi ayıklar
-- Amaç: imaj dosyası AV tarama için güvenilir → payload geçer

Zelix/Allatori: Java Ağır Obfuskasyonu

-- Java obfuskator kanıtları:
  - Tek harfli sınıf adları: a.class, b.class, ..., z.class
  - Tek harfli metod adları: a(), b(), c()
  - String şifreleme: sabitler runtime'da çözülür
  - Flow obfuscation: goto/exception tabanlı kontrol akışı
  - Reflection kullanımı: Class.forName() + getDeclaredMethod()

-- Tespit edilen obfuskasyon:
  @?t#zf>#ofmpebbotu#!.9UG#Vh>jopeod!f1#2/>#potjfs!wnm@y
  Caesar shift -1 uygulandığında:
  >.&sezhe&=nelfaaomstk&=8TF&=Ug=inocnc&=e0&=1/=&=onhier&=vlk?x
  → "nempdaamst" → "networkpaint"? → parçalı RAT method adları

-- zSVjq4WHYF4juyDF: obfuskeli token/anahtar string
-- c2 substrings: C2 iletişim kodu obfuskeli haliyle görünüyor

Neden JAR Malware Tehlikeli

-- Çapraz platform: Java 8+ yüklü tüm sistemlerde çalışır
  - Windows, Linux, macOS
  - Kurumsal ortamlarda Java yaygın (Oracle, Tomcat, Jenkins)
-- Java güvenlik modeli: sandbox kırma ile tam sistem erişimi
-- İmaj steganografisi: AV tespitini zorlaştırır
-- Dinamik class yükleme: payload disk üzerine yazılmadan çalışır

IOC

SHA2564b28b77566b9ae09894d3b67030bdfd49a74ea16ac0c0839106109f97684ed48
C2b86c11.cc
Steganografiicon.png (Targa 257x257, 678KB)

JavaRAT — Malware Profile

Java-based RAT (Adwind/jRAT lineage). C2 domain b86c11.cc. Steganographic payload embedded in icon.png (Targa format 257x257). Heavy Java obfuscation (Zelix/Allatori). Caesar-shift obfuscation of class/method names. Cross-platform: Windows/Linux/macOS.

Malware Type
RAT
Programming Language
Java
C2 Protocol
TCP
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — JavaRAT
# SHA256 4b28b77566b9ae09894d3b67030bdfd49a74ea16ac0c0839106109f97684ed48
TypeValueNote
sha256 4b28b77566b9ae09894d3b67030bdfd49a74ea16ac0c0839106109f97684ed48

C2 Servers (1 recorded servers for this family)

Address Type Port Protocol Status Country
b86c11.cc domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
javaratjava-ratjratadwind-lineageb86c11-cc-c2-domain-network-iocicon-png-targa-steganographic-payload-embedded-in-jarzelix-allatori-java-obfuscator-heavy-obfuscationcaesar-shift-obfuscation-class-method-namesc2-code-fragments-visible-in-obfuscated-stringsjar-malware-cross-platform-windows-linux-mac