Manuel Statik Analiz — NetWire | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | x00f01750.exe (hash önek ismi — OPSEC) |
| Boyut | 1.462.026 byte (1.4MB) |
| String Sayisi | 5.945 |
CoSetProxyBlanket: COM Kimlik Doğrulama Bypass
COM BYPASS: WMI güvenlik kanalı devre dışı!
CoSetProxyBlanket (ole32.dll) -- COM proxy güvenlik ayarı değiştirme -- Tipik kullanım: CoSetProxyBlanket(pSvc, RPC_C_AUTHN_WINNT, ..., EOAC_NONE) -- "EOAC_NONE" = kimlik doğrulama yetenekleri: HİÇBİR -- Etki: WMI sorgularında authentication bypass -- NetWire: WMI üzerinden sistem bilgisi toplar → CoSetProxyBlanket ile engellenmeden -- Teknik: WMI + DCOM aracılığıyla sysinfo/process/network bilgisi
Hash Önek Dosya Adı
x00f01750.exe -- "x" + kısaltılmış hash = anonim isim -- Görev yöneticisinde anlamsız, akılda kalmayan isim -- Her kurban için farklı hash → imza tabanlı AV'yi atlatır
IOC
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Teknik | CoSetProxyBlanket EOAC_NONE COM bypass |
NetWire — Malware Profile
NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.
Malware Type
RAT
Programming Language
C
C2 Protocol
TCP
Target Systems
Windows/Linux/macOS
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — NetWire
# SHA256
00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |