Manuel Statik Analiz — NanoCore RAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4 |
|---|---|
| Dosya Adı | pk68.io.exe (C2 domain ismi!) |
| Boyut | 207.872 byte |
| String Sayisi | 2.145 |
C2 Domain Dosya Adında
Tespit: C2 domain adı dosya ismine gömülmüş: pk68.io
ConfuserEx .NET Obfuskasyonu
#=qY9NY2gigPsj8X4CYx0UCT2vGlqkgsq6GuC2fWqP3Voc= #=qtussAh$DpHFmu7s -- ConfuserEx obfüskülenmiş .NET sembol isimleri (#=q prefix)
PBKDF2 + Bitcoin
Rfc2898DeriveBytes -- AES şifreleme için PBKDF2 anahtar türetme 1abw3Kju8nMffXDIbl5na4zXqclsRK -- NanoCore BTC cüzdanı 1CbaXqZpxrHWaxR5CiRO2OiaCLfsbSk -- NanoCore BTC cüzdanı #2
IOC
| SHA256 | 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4 |
|---|---|
| C2 | pk68.io (dosya adında) |
| BTC | 1abw3Kju8nMffXDIbl5na4zXqclsRK |
NanoCore2 — Malware Profile
NanoCore .NET RAT 2013. HP Jetstar scanner lure. Administrator PDB FqStwIZtCP. Plugin: keylogger webcam credential.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Kuresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — NanoCore2
# SHA256
4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
| Type | Value | Note |
|---|---|---|
| sha256 | 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4 |