Manuel Statik Analiz — OrcusRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA256ed113062652d388b1129592b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adıtask.dll (görev DLL'i — minimal isim)
Boyut1.129.592 byte (1.08MB)
String Sayisi5.353

.?AUEC2NPoint@CryptoPP@@: Eliptik Eğri Kriptografi C2 Şifrelemesi

KRİPTO: Elliptic Curve over GF(2^n) — C2 mesaj imzalama!
.?AUEC2NPoint@CryptoPP@@
-- "CryptoPP" = Crypto++ (açık kaynak C++ kriptografi kütüphanesi)
-- "EC2NPoint" = Elliptic Curve over GF(2^n) Point (ikili alan eliptik eğri noktası)
-- C++ RTTI type info: `.?AU` prefix = mangled class name
-- OrcusRAT: eliptik eğri kriptografisi ile C2 mesajlarını imzalıyor
-- EC2N = GF(2^n) alanında eliptik eğri (ECDSA/ECDH için)
-- Yüksek güvenlikli C2: RSA değil EC → aynı güvenlik, daha küçük anahtar

PK_Signer + TF_SignerBase: Crypto++ İmzalama Hata Stringleri

PK_Signer: key too short for this signature scheme
TF_SignerBase: this algorithm does [not...]
-- "PK_Signer" = Public Key Signer (genel anahtar imzalayıcı)
-- "TF_SignerBase" = Trapdoor Function Signer Base Class
-- Crypto++ runtime hatası: anahtar boyutu yetersiz
-- Bu hata stringleri: OrcusRAT binary'e Crypto++ statik link edilmiş
-- Statik link: bağımlılık olmadan çalışır, analiz güçleşir

IOC

SHA256ed113062652d388b1129592b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
KriptoEC2NPoint@CryptoPP (eliptik eğri)

OrcusRAT — Malware Profile

OrcusRAT. EC2NPoint@CryptoPP elliptic curve C2 encryption. Crypto++ library. task.dll DLL hijacking.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP + Discord CDN
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — OrcusRAT
# SHA256 ed113062652d388b1129592b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 ed113062652d388b1129592b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
orcusratorcus-ratec2npoint-cryptopp-elliptic-curve-c2pksigner-key-too-shorttfsignerbase-this-algorithmcrypto-plus-plus-librarytask-dll-minimal-namentqueryinformationprocess