Manuel Statik Analiz — PupyRAT | Tehdit: KRİTİK

Dosya Kimliği

SHA256a1029fce9523e0253684496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
FormatELF (Linux binary)
Boyut3.684.496 byte (3.51MB)
String Sayisi17.193

pupy:// Protokol URL Şeması

ÖZEL PROTOKOL: PupyRAT'ın kendi URL protokolü!
pupy://        -- PupyRAT özel URL protokolü
_pupy          -- PupyRAT dahili modülü
_pupy.error    -- PupyRAT hata modülü
incompatible version  -- versiyon uyumsuzluğu hatası
-- "pupy://" = PupyRAT C2 bağlantı URL'si (ssh://, http:// gibi)
-- Özel protokol: PupyRAT C2 sunucusuna özgü şema
-- "_pupy" modülü: Python paketinde özel prefix ile saklanmış
-- "_pupy.error": exception handling modülü
-- Karakteristik imza: yalnızca PupyRAT binary'lerinde bulunur

memfd_is_supported: Linux Bellek-İçi Çalışma

FILELESS: Disk'e yazmadan Linux belleğinde çalışıyor!
memfd_is_supported
-- "memfd" = Linux Memory File Descriptor (bellek dosya tanımlayıcı)
-- Kernel 3.17+: memfd_create() syscall ile anonim bellek bölgesi
-- Disk'e hiçbir şey yazılmıyor → forensik iz yok!
-- PupyRAT: memfd ile tüm payload RAM'de çalışıyor
-- "memfd_is_supported" = sistem bu özelliği destekliyor mu kontrol
-- AV bypass: dosya yok → imza tarama yapılamaz
-- Sadece Linux: Windows'ta benzer teknik = Process Hollowing

CPython Gömülü: PyArg + PyImport C Uzantıları

PyArg_ParseTupleAndKeywords  -- Python C extension argüman parse
PyImport_ImportMod[ule]      -- Python modülü dinamik yükleme
-- PupyRAT: tam Python yorumlayıcısını binary içine gömmüş
-- "PyArg_ParseTupleAndKeywords" = C uzantısında Python argümanlarını al
-- PyImport_ImportModule = çalışma zamanında modül yükle
-- Gömülü CPython: hedef sistemde Python kurulu olmak zorunda değil
-- Yetenekler: tüm Python kütüphaneleri → sniffing, keylogging, pivoting

IOC

SHA256a1029fce9523e0253684496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Protokolpupy://
FormatELF + gömülü CPython

PupyRAT — Malware Profile

PupyRAT open source Linux/multi-OS RAT. pupy:// protocol. _pupy modules. memfd in-memory execution. CPython embedded.

Malware Type
RAT
Programming Language
Python/C
C2 Protocol
TCP/HTTPS
Target Systems
Küresel/Linux

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — PupyRAT
# SHA256 a1029fce9523e0253684496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 a1029fce9523e0253684496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
pupyratpupy-ratpupy-protocol-urlpupy-error-internal-modulememfd-is-supported-linux-in-memorycpython-embedded-pythonpyarg-parsetuplepyimport-importmodelf-linux-ratc2qj-fragment