Manuel Statik Analiz — NetWireRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | x00f01750.exe (hash-prefix isimlendirme) |
| Boyut | 1.462.026 byte (1.39MB) |
| String Sayisi | 5.945 |
45A06E61... 88-Karakter Hex: Şifreleme Anahtar Materyali
ANAHTAR: Hardcoded 88-karakter şifreleme anahtarı!
45A06E6143226FBBB6E5FC8555E1E90ED63F7AA091EA2456928510DBAD014B493B27CC52E4AD43EC628F4 -- 88 hexadecimal karakter = 44 byte -- Standart uzunluklar değil: MD5=32, SHA1=40, SHA256=64 -- 44 byte = şifreleme anahtar materyali (olası: ChaCha20-Poly1305 key+nonce) -- ChaCha20: 32-byte key + 12-byte nonce = 44 byte toplam! -- NetWireRAT: C2 iletişiminde ChaCha20 akış şifrelemesi kullanıyor -- Hardcoded: her binary'de aynı → imza olarak kullanılabilir
POSIX + PCRE: Gömülü Regex Motoru
POSIX named classes are supported only within a class POSIX collating elements are not supported -- Bu hatalar: PCRE (Perl Compatible Regular Expressions) kütüphanesinden -- NetWireRAT: kimlik bilgisi çıkarmak için gömülü regex kullanıyor -- "named classes" = [:alpha:] [:digit:] gibi karakter sınıfları -- "collating elements" = [.x.] lokal-bağımlı karakter sıralaması -- Regex: şifre/kart/IBAN pattern matching → credential stealing
IOC
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Anahtar | 45A06E6143...628F4 (88 hex, ChaCha20 key+nonce) |
NetWire — Malware Profile
NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.
Malware Type
RAT
Programming Language
C
C2 Protocol
TCP
Target Systems
Windows/Linux/macOS
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — NetWire
# SHA256
00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |