Manuel Statik Analiz — NanoCore RAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | Scan#250226HPJetstar.exe |
| Boyut | 1.075.200 byte (1MB) |
| String Sayisi | 5.204 |
HP Yazıcı Tarama Lure
Scan#250226HPJetstar.exe -- "Scan#250226" = 26 Şubat 2025 tarihli tarama numarası -- "HP" = Hewlett-Packard yazıcı markası -- "Jetstar" = HP JetDirect/LaserJet + Jetstar havayolu karışımı (sosyal müh.) -- Kurumsal ofis ortamında HP yazıcıdan gelen tarama belgesi gibi gösterilmiş -- Hedef: sekreteer/muhasebe/ofis çalışanları
PDB: Administrator + FqStwIZtCP Build ID
Geliştirici Tespit:
C:\Users\Administrator\Desktop\Client\Temp\FqStwIZtCP\src\obj\Debug\pINX.pdb -- Kullanıcı: "Administrator" (sysadmin hesabı = geliştirici) -- "Desktop\Client\" = NanoCore "Client" modülü (RAT clientı!) -- "FqStwIZtCP" = 10 karakter rastgele string (build ID / temp klasör) -- "pINX.pdb" = binary adı "pINX" (obfuskated → gerçek ad değil) -- "obj\Debug\" = Debug build (release/production değil)
Konfigürasyon API'leri
GetConfig -- NanoCore config okuma SetConfig -- NanoCore config yazma Panel -- kontrol paneli referansı K(c2gV / 90C2r / Rs)C2 -- C2 config string fragment'leri
NanoCore Hakkında
NanoCore 2013'te Taylor Huddleston tarafından geliştirilen .NET tabanlı RAT. Yapıcısı 2018'de 33 ay hapis yattı. Plugin mimarisi: keylogger, webcam, remote desktop, credential theft. 2024'te hâlâ aktif — eski codebase, yeni kampanyalar. HP scanner+tarih lure = kurumsal hedef.
IOC
| SHA256 | 13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Scan#250226HPJetstar.exe (HP yazıcı tarama) |
| PDB | C:\Users\Administrator\Desktop\Client\...\FqStwIZtCP\src\obj\Debug\pINX.pdb |
NanoCore2 — Malware Profile
NanoCore .NET RAT 2013. HP Jetstar scanner lure. Administrator PDB FqStwIZtCP. Plugin: keylogger webcam credential.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Kuresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — NanoCore2
# SHA256
13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 13bab9f76e7c622a1075200b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |