Manuel Statik Analiz — NetWire | Tehdit: ORTA

Dosya Kimliği

SHA25600f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıx00f01750.exe (SHA256 hash önek ile sahte isim)
Boyut1.462.026 byte (1.4MB)
String Sayisi5.945

Üçlü Anti-Debug

GetTickCount64       -- 64-bit mikrosaniye sayacı (zamanlama saldırısı)
IsDebuggerPresent    -- Debugger API tespiti
GetTickCount         -- 32-bit sayaç (eski API paralel kontrol)
-- Üçlü kontrol: farklı API'ler, farklı bypass metodları gerektirir
-- GetTickCount64: tek başına bypass edilebilir; üçü birden zor

Control Panel Registry Keylogger Hedefleri

Control Panel\Mouse       -- Fare hassasiyeti + hız ayarları
Control Panel\Appearance  -- Masaüstü görünüm/tema ayarları
-- NetWire bu registry key'lerini okuyarak kullanıcı profilini çıkarır
-- Mouse sensitivity → kullanıcı davranış imzası
-- Appearance settings → kurumsal/kişisel cihaz ayrımı

IOC

SHA25600f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Anti-debugGetTickCount64 + IsDebuggerPresent + GetTickCount

NetWire — Malware Profile

NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.

Malware Type
RAT
Programming Language
C
C2 Protocol
TCP
Target Systems
Windows/Linux/macOS

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — NetWire
# SHA256 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
netwiretriple-anti-debuggettickcoungt64control-panel-mouseappearance-registryhash-filename