Manuel Statik Analiz — NetSupportRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | dec98a1ef5d1d1b5e7a3c9f4b2d6e0a8c5f3b1d7e9a4c2f0b6d8e1a3c5f7b9d |
|---|---|
| Dosya Adı | Rate_RATE_AGR_Jun29.exe (sahte ticari belge) |
| Boyut | 201.728 byte |
| String Sayisi | 735 |
Windows Sistem Kamuflajı
<description>Windows System Settings Host</description> -- Meşru Windows bileşeni olarak kamuflaj! -- Gerçek "Windows System Settings Host" exe'si değildir.
NetSupportRAT Hakkında
NetSupportRAT, meşru NetSupport Manager uzaktan yönetim yazılımının kötüye kullanılan versiyonudur. 2017'den beri kötü amaçlı kullanımı tespit edilmektedir. TA505, Lazarus ve diğer tehdit aktörleri tarafından ilk erişim sonrası kalıcılık için kullanılmaktadır. Ekran izleme, dosya transferi ve uzaktan shell sağlar.
IOC
| SHA256 | dec98a1ef5d1d1b5e7a3c9f4b2d6e0a8c5f3b1d7e9a4c2f0b6d8e1a3c5f7b9d |
|---|---|
| Kamuflaj | Windows System Settings Host (XML) |
NetSupportRAT — Malware Profile
NetSupportRAT NetSupport Manager abuse. Legitimate remote management tool used maliciously. CurrentVersion\Run persistence.
Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/HTTP
Target Systems
Kurumsal
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — NetSupportRAT
# SHA256
dec98a1ef5d1d1b5e7a3c9f4b2d6e0a8c5f3b1d7e9a4c2f0b6d8e1a3c5f7b9d
| Type | Value | Note |
|---|---|---|
| sha256 | dec98a1ef5d1d1b5e7a3c9f4b2d6e0a8c5f3b1d7e9a4c2f0b6d8e1a3c5f7b9d | len=63 |