Manuel Statik Analiz — NanoCoreRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Scan#250226HPJetstar.exe (tarih damgalı HP tarayıcı!) |
| Boyut | 1.075.200 byte (1.02MB) |
| String Sayisi | 5.204 |
Scan#250226HPJetstar: Tarih Damgalı HP Tarayıcı Lürü
Scan#250226HPJetstar.exe -- "Scan#" = belge tarama numarası -- "250226" = 25/02/26 → 26 Şubat 2025 (kampanya tarihi!) -- "HPJetstar" = HP + Jetstar tarayıcı simulasyonu - HP: Hewlett Packard yazıcı/tarayıcı - Jetstar: Avustralya havayolu (IT destek sektörü?) - Kombine: HP Jetstar model tarayıcısından belge taraması gibi görünür -- Sosyal mühendislik: IT destek veya muhasebe çalışanı aldatılıyor -- "exe" uzantısı: tarama yazılımı gibi görünüyor
Administrator\Desktop\Client\pINX.pdb: Geliştirici PDB
GELİŞTİRİCİ: Administrator hesabından NanoCore builder çalıştırılmış!
C:\Users\Administrator\Desktop\Client\Temp\FqStwIZtCP\src\obj\Debug\pINX.pdb -- "Administrator" = Windows yönetici hesabı kullanılmış -- "Desktop\Client\" = NanoCore Client build çıktısı masaüstüne -- "Temp\FqStwIZtCP\" = NanoCore builder'ın geçici dizin adı (rastgele 10 karakter) - "FqStwIZtCP" = NanoCore v2.x builder'ın temp dizin pattern'i -- "pINX.pdb" = gizlenmiş proje adı "pINX" - "pINX" = harf değiştirme obfüskasyonu (orijinal isim gizleniyor) -- NanoCore 2.x: builder her derlemede rastgele temp dizin oluşturur
GetConfig + SetConfig: NanoCore Eklenti API'si
KARAKTERİSTİK: NanoCore plugin architecture!
GetConfig -- eklenti yapılandırmasını al SetConfig -- eklenti yapılandırmasını güncelle Panel -- NanoCore UI panel bileşeni -- GetConfig/SetConfig = NanoCore'un plugin API çerçevesi -- Her NanoCore plugin: GetConfig ile ayarlarını okur, SetConfig ile yazar -- Panel: NanoCore GUI framework bileşeni (plugin'ler panel oluşturur) -- Bu string kombinasyonu = kesin NanoCore kimliği - AsyncRAT: HasProperty/SetProperty; njRAT: get_Panel; NanoCore: GetConfig/SetConfig
ZhaoZe DianJi DengGuang: Çince Builder UI
ZhaoZe (Swamp): DianJi Panel fangzhi DengGuang to guide LvKe. -- Romanize Çince metni: NanoCore builder'ın Çince yerelleştirmesi! -- "ZhaoZe" (沼泽) = Bataklık/Sulak alan -- "DianJi" (点击) = Tıkla / Click -- "fangzhi" (防止) = Önlemek / Prevent -- "DengGuang" (灯光) = Aydınlatma / Lighting -- "LvKe" (旅客) = Yolcu / Traveler -- Türkçe çeviri: "Bataklık: Aydınlatmayı önlemek için Panel'e tıkla ve Yolcuyu yönlendir" -- Bu metin = NanoCore builder'ın Çince lokalize versiyonu -- Çin kaynaklı saldırı: NanoCore builder Çince UI ile geliştirilmiş
IOC
| SHA256 | 13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| PDB | C:\Users\Administrator\Desktop\Client\Temp\FqStwIZtCP\src\obj\Debug\pINX.pdb |
| Plugin API | GetConfig + SetConfig |
NanoCoreRAT — Malware Profile
NanoCoreRAT modular plugin-based RAT. GetConfig/SetConfig plugin API. Chinese builder UI. pINX.pdb administrator desktop client build.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — NanoCoreRAT
# SHA256
13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |