Manuel Statik Analiz — PupyRAT | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | a1029fce9523e0253684496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Format | ELF (Linux binary) |
| Boyut | 3.684.496 byte (3.51MB) |
| String Sayisi | 17.193 |
pupy:// Protokol URL Şeması
ÖZEL PROTOKOL: PupyRAT'ın kendi URL protokolü!
pupy:// -- PupyRAT özel URL protokolü _pupy -- PupyRAT dahili modülü _pupy.error -- PupyRAT hata modülü incompatible version -- versiyon uyumsuzluğu hatası -- "pupy://" = PupyRAT C2 bağlantı URL'si (ssh://, http:// gibi) -- Özel protokol: PupyRAT C2 sunucusuna özgü şema -- "_pupy" modülü: Python paketinde özel prefix ile saklanmış -- "_pupy.error": exception handling modülü -- Karakteristik imza: yalnızca PupyRAT binary'lerinde bulunur
memfd_is_supported: Linux Bellek-İçi Çalışma
FILELESS: Disk'e yazmadan Linux belleğinde çalışıyor!
memfd_is_supported -- "memfd" = Linux Memory File Descriptor (bellek dosya tanımlayıcı) -- Kernel 3.17+: memfd_create() syscall ile anonim bellek bölgesi -- Disk'e hiçbir şey yazılmıyor → forensik iz yok! -- PupyRAT: memfd ile tüm payload RAM'de çalışıyor -- "memfd_is_supported" = sistem bu özelliği destekliyor mu kontrol -- AV bypass: dosya yok → imza tarama yapılamaz -- Sadece Linux: Windows'ta benzer teknik = Process Hollowing
CPython Gömülü: PyArg + PyImport C Uzantıları
PyArg_ParseTupleAndKeywords -- Python C extension argüman parse PyImport_ImportMod[ule] -- Python modülü dinamik yükleme -- PupyRAT: tam Python yorumlayıcısını binary içine gömmüş -- "PyArg_ParseTupleAndKeywords" = C uzantısında Python argümanlarını al -- PyImport_ImportModule = çalışma zamanında modül yükle -- Gömülü CPython: hedef sistemde Python kurulu olmak zorunda değil -- Yetenekler: tüm Python kütüphaneleri → sniffing, keylogging, pivoting
IOC
| SHA256 | a1029fce9523e0253684496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Protokol | pupy:// |
| Format | ELF + gömülü CPython |
PupyRAT — Malware Profile
PupyRAT open source Linux/multi-OS RAT. pupy:// protocol. _pupy modules. memfd in-memory execution. CPython embedded.
Malware Type
RAT
Programming Language
Python/C
C2 Protocol
TCP/HTTPS
Target Systems
Küresel/Linux
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — PupyRAT
# SHA256
a1029fce9523e0253684496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | a1029fce9523e0253684496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |