Manuel Statik Analiz (LLM Okumali) — NetWireRAT | Tehdit: YUKSEK
Dosya Kimligi
| SHA256 | e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f |
|---|---|
| Orijinal Ad | Host.exe |
| Boyut | 64.512 byte |
C2 Altyapisi — HTTP CONNECT Tunel
Binary icerisinde HTTP CONNECT protokolu ile C2 tünelleme kodu bulunmaktadir. NetWireRAT bu yöntemi kurumsal proxy'leri asmak icin kullanmaktadir.
FCONNECT %s:%d HTTP/1.0 <-- HTTP CONNECT format stringi Host: %s <-- HTTP Host header Connection: close
Hedeflenen Kimlik Bilgileri
| Hedef | Indicator |
|---|---|
| Pidgin IM | .purple\accounts.xml |
| POP3 Email | POP3 Password |
| IMAP Email | IMAP Password |
| HTTP Kimlik | HTTP Password |
| SMTP Kimlik | SMTP Password |
Bilinen NetWire Yetenekleri
- Uzaktan kabuk (remote shell)
- Keylogger
- Email istemcisi sifre calma
- Pidgin/IM sifre calma
- Dosya yonetimi
- Registry islemleri
- HTTP CONNECT ile proxy atlama
IOC
| SHA256 | e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f |
|---|---|
| Dosya | Host.exe |
| C2 Protokol | HTTP CONNECT tunel |
| C2 | Sifrelenmis config (dinamik analiz gerekli) |
NetWire — Malware Profile
NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.
Malware Type
RAT
Programming Language
C
C2 Protocol
TCP
Target Systems
Windows/Linux/macOS
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — NetWire
# SHA256
e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
| Type | Value | Note |
|---|---|---|
| sha256 | e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f |