Manuel Statik Analiz — OrcusRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | ed113062652d388b1129592b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | task.dll (görev DLL'i — minimal isim) |
| Boyut | 1.129.592 byte (1.08MB) |
| String Sayisi | 5.353 |
.?AUEC2NPoint@CryptoPP@@: Eliptik Eğri Kriptografi C2 Şifrelemesi
KRİPTO: Elliptic Curve over GF(2^n) — C2 mesaj imzalama!
.?AUEC2NPoint@CryptoPP@@ -- "CryptoPP" = Crypto++ (açık kaynak C++ kriptografi kütüphanesi) -- "EC2NPoint" = Elliptic Curve over GF(2^n) Point (ikili alan eliptik eğri noktası) -- C++ RTTI type info: `.?AU` prefix = mangled class name -- OrcusRAT: eliptik eğri kriptografisi ile C2 mesajlarını imzalıyor -- EC2N = GF(2^n) alanında eliptik eğri (ECDSA/ECDH için) -- Yüksek güvenlikli C2: RSA değil EC → aynı güvenlik, daha küçük anahtar
PK_Signer + TF_SignerBase: Crypto++ İmzalama Hata Stringleri
PK_Signer: key too short for this signature scheme TF_SignerBase: this algorithm does [not...] -- "PK_Signer" = Public Key Signer (genel anahtar imzalayıcı) -- "TF_SignerBase" = Trapdoor Function Signer Base Class -- Crypto++ runtime hatası: anahtar boyutu yetersiz -- Bu hata stringleri: OrcusRAT binary'e Crypto++ statik link edilmiş -- Statik link: bağımlılık olmadan çalışır, analiz güçleşir
IOC
| SHA256 | ed113062652d388b1129592b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Kripto | EC2NPoint@CryptoPP (eliptik eğri) |
OrcusRAT — Malware Profile
OrcusRAT. EC2NPoint@CryptoPP elliptic curve C2 encryption. Crypto++ library. task.dll DLL hijacking.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP + Discord CDN
Target Systems
Kuresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — OrcusRAT
# SHA256
ed113062652d388b1129592b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | ed113062652d388b1129592b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |