Manuel Statik Analiz — OrcusRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 81f9dc256d4ac8c61187263b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | orcus.rar (kendini açıklayan isim!) |
| Boyut | 1.187.263 byte (1.2MB RAR) |
| String Sayisi | 5.596 |
Kendini Açıklayan Paket: orcus.rar
orcus.rar -- "orcus" = OrcusRAT'ın kendi adı! -- RAR formatı: şifreli veya şifresiz dağıtım paketi -- OrcusRAT dağıtım kanalı: yeraltı forumları, dark web satış -- RAR içeriği: OrcusRAT builder + client + server + readme -- Self-named: satıcı paketin amacını gizlememiş
Beş C2 Substring Referansı
c2iqO C2]lv!-i Q2[C2 C2(z*" x^c27 -- OrcusRAT 5 farklı c2 substring içeriyor -- Büyük C2 ve küçük c2 kombinasyonu: farklı config struct alanları -- "C2]lv!-i" = özel karakter içeren string (obfuskasyon sonrası) -- Q2[C2: Q2 prefix + C2 suffix = iç içe config
5keYVW: Şifreleme Anahtarı
5keYVW -- "keY" = key referansı (büyük Y kasıtlı) -- "5" + "VW" = prefix/suffix -- OrcusRAT şifreleme/obfuskasyon anahtarı fragmenti -- AES veya XOR key partial value
IOC
| SHA256 | 81f9dc256d4ac8c61187263b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Paket | orcus.rar (self-named) |
OrcusRAT — Malware Profile
OrcusRAT. EC2NPoint@CryptoPP elliptic curve C2 encryption. Crypto++ library. task.dll DLL hijacking.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP + Discord CDN
Target Systems
Kuresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — OrcusRAT
# SHA256
81f9dc256d4ac8c61187263b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 81f9dc256d4ac8c61187263b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |