Manuel Statik Analiz — OrcusRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA25681f9dc256d4ac8c61187263b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıorcus.rar (kendini açıklayan isim!)
Boyut1.187.263 byte (1.2MB RAR)
String Sayisi5.596

Kendini Açıklayan Paket: orcus.rar

orcus.rar
-- "orcus" = OrcusRAT'ın kendi adı!
-- RAR formatı: şifreli veya şifresiz dağıtım paketi
-- OrcusRAT dağıtım kanalı: yeraltı forumları, dark web satış
-- RAR içeriği: OrcusRAT builder + client + server + readme
-- Self-named: satıcı paketin amacını gizlememiş

Beş C2 Substring Referansı

c2iqO
C2]lv!-i
Q2[C2
C2(z*"
x^c27
-- OrcusRAT 5 farklı c2 substring içeriyor
-- Büyük C2 ve küçük c2 kombinasyonu: farklı config struct alanları
-- "C2]lv!-i" = özel karakter içeren string (obfuskasyon sonrası)
-- Q2[C2: Q2 prefix + C2 suffix = iç içe config

5keYVW: Şifreleme Anahtarı

5keYVW
-- "keY" = key referansı (büyük Y kasıtlı)
-- "5" + "VW" = prefix/suffix
-- OrcusRAT şifreleme/obfuskasyon anahtarı fragmenti
-- AES veya XOR key partial value

IOC

SHA25681f9dc256d4ac8c61187263b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Paketorcus.rar (self-named)

OrcusRAT — Malware Profile

OrcusRAT. EC2NPoint@CryptoPP elliptic curve C2 encryption. Crypto++ library. task.dll DLL hijacking.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP + Discord CDN
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — OrcusRAT
# SHA256 81f9dc256d4ac8c61187263b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 81f9dc256d4ac8c61187263b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
orcusratorcus-rar-self-namedc2iqo-substringc2lv-substringc2z-substringfive-c2-substrings5keyvw-key-fragment