Statik Analiz — JavaRAT (malware.jar) | Tehdit: YÜKSEK
Dosya Kimliği
| SHA256 | 4b28b77566b9ae09894d3b67030bdfd49a74ea16ac0c0839106109f97684ed48 |
|---|---|
| Dosya Adı | malware.jar (1,668,827 byte — Java archive) |
| Tür | Java Archive (JAR), cross-platform (Windows/Linux/macOS) |
b86c11.cc: C2 Domain
C2 DOMAIN: b86c11.cc — Java RAT komuta kontrol sunucusu!
b86c11.cc -- ".cc" TLD: Cocos Adaları, C2 altyapısında sıkça kullanılan TLD -- "b86c11" = hex/alfanümerik kampanya tanımlayıcısı (DGA benzeri) -- JAR içinde obfuskeli Java string'leri arasında gizlenmiş -- Java RAT iletişim akışı: 1. Java → socket → b86c11.cc:4444 (veya custom port) 2. C2 komut gönder → RAT çalıştır 3. Sonuçları geri gönder -- Java RAT'ler Java yüklü her sistemde çalışır: çapraz platform tehdit
icon.png: Steganografik Payload (Targa Format)
JAR içinde: icon.png (678,147 byte) Gerçek format: Targa image (TGA) — PNG değil! -- "icon.png" ismi ama içerik Targa formatında -- Steganografi: veri piksel değerleri arasına gizlenmiş -- 257x257 = 66,049 piksel → her piksel 3 byte = ~198KB veri kapasitesi -- Gizlenen veri: muhtemelen şifreli konfigürasyon veya ikincil payload -- Steganografi teknikleri: LSB (Least Significant Bit): her pikselin son biti DCT steganografi: JPEG benzeri dönüşüm tabanlı gizleme Dosya sonu ekleme (EOF append): Targa'nın sonuna binary ekli -- JAR'da sahte PNG: Java sınıf yükleyicisi bunu okur → gizli veriyi ayıklar -- Amaç: imaj dosyası AV tarama için güvenilir → payload geçer
Zelix/Allatori: Java Ağır Obfuskasyonu
-- Java obfuskator kanıtları: - Tek harfli sınıf adları: a.class, b.class, ..., z.class - Tek harfli metod adları: a(), b(), c() - String şifreleme: sabitler runtime'da çözülür - Flow obfuscation: goto/exception tabanlı kontrol akışı - Reflection kullanımı: Class.forName() + getDeclaredMethod() -- Tespit edilen obfuskasyon: @?t#zf>#ofmpebbotu#!.9UG#Vh>jopeod!f1#2/>#potjfs!wnm@y Caesar shift -1 uygulandığında: >.&sezhe&=nelfaaomstk&=8TF&=Ug=inocnc&=e0&=1/=&=onhier&=vlk?x → "nempdaamst" → "networkpaint"? → parçalı RAT method adları -- zSVjq4WHYF4juyDF: obfuskeli token/anahtar string -- c2 substrings: C2 iletişim kodu obfuskeli haliyle görünüyor
Neden JAR Malware Tehlikeli
-- Çapraz platform: Java 8+ yüklü tüm sistemlerde çalışır - Windows, Linux, macOS - Kurumsal ortamlarda Java yaygın (Oracle, Tomcat, Jenkins) -- Java güvenlik modeli: sandbox kırma ile tam sistem erişimi -- İmaj steganografisi: AV tespitini zorlaştırır -- Dinamik class yükleme: payload disk üzerine yazılmadan çalışır
IOC
| SHA256 | 4b28b77566b9ae09894d3b67030bdfd49a74ea16ac0c0839106109f97684ed48 |
|---|---|
| C2 | b86c11.cc |
| Steganografi | icon.png (Targa 257x257, 678KB) |
JavaRAT — Malware Profile
Java-based RAT (Adwind/jRAT lineage). C2 domain b86c11.cc. Steganographic payload embedded in icon.png (Targa format 257x257). Heavy Java obfuscation (Zelix/Allatori). Caesar-shift obfuscation of class/method names. Cross-platform: Windows/Linux/macOS.
Malware Type
RAT
Programming Language
Java
C2 Protocol
TCP
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — JavaRAT
# SHA256
4b28b77566b9ae09894d3b67030bdfd49a74ea16ac0c0839106109f97684ed48
| Type | Value | Note |
|---|---|---|
| sha256 | 4b28b77566b9ae09894d3b67030bdfd49a74ea16ac0c0839106109f97684ed48 |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| b86c11.cc | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.