Manuel Statik Analiz — NanoCore RAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 4eca71001daaabb1207872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | pk68.io.exe (.io domain adını dosya ismi olarak kullanmış!) |
| Boyut | 207.872 byte (.NET C#) |
| String Sayisi | 2.145 |
Açık NanoCore Stringleri
#GUID -- .NET assembly kimliği NanoCore Client -- Açık aile adı! NanoCore Client.exe -- Beklenen çalışma dosyası ismi -- Geliştirici stringleri gizlememiş = tespit kolaylığı
NanoCore Hakkında
NanoCore, 2013'te Amerikan geliştirici Taylor Huddleston tarafından yazılan .NET C# RAT'ıdır. Huddleston 2019'da 3 yıl hapis cezası aldı. Satılan lisanslı kopyalar dark web'e sızdı ve yaygın kullanıma girdi. Keylogger, webcam erişimi, ekran görüntüsü ve dosya yönetimi özellikleri.
IOC
| SHA256 | 4eca71001daaabb1207872b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| String | NanoCore Client (açık aile kimliği) |
NanoCore2 — Malware Profile
NanoCore .NET RAT 2013. HP Jetstar scanner lure. Administrator PDB FqStwIZtCP. Plugin: keylogger webcam credential.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Kuresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — Nanocore2
# DOMAIN
pk68.io
| Type | Value | Note |
|---|---|---|
| domain | pk68.io |