Manuel Statik Analiz — RecordBreaker (Raccoon Stealer 2.0) | Tehdit: ORTA
Dosya Kimliği
| SHA256 | aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2c7 |
|---|---|
| PDB | C:\Users\press\...\Report.A66214F7-6635-4084-8609-050NK772EXE\obj\Debug |
| String Sayisi | 11.452 |
LUWKTVNBABYKEY: XOR Anahtarında "BABY KEY" Gizli Mesajı
EASTER EGG: Geliştirici XOR şifreleme anahtarına "BABY" + "KEY" kelimelerini gizlemiş!
LUWKTVNBABYKEY XOEQJLDVKGWJYYXUU (32 karakter)
^^^^
-- Pozisyon 8-14: "BABYKEYXOE" = "BABY" + "KEY" gömülü!
-- 32-karakter XOR anahtarı = 256-bit (AES-256 eşdeğeri güçte)
-- Geliştirici: şifreleme anahtarına anlamlı kelimeler gizlemiş
- Bu: APT geliştiricilerin bazen yaptığı imza tekniği
- "BABY KEY" = kendi özel anahtarı, "bebek anahtar" lakabı?
- Forensik: bu kalıp → aynı geliştirici grubunu tanımlamak için
72-73 Karakter Şifreli Yapılandırma Stringleri
XHYOUUZATSDRIOKPGWDSUPIYJDEUYNBOTYORPGZMQXHQXWXJIKOEAFBHZAFQQFBGQPXJATA (72c) AWFFNSDHGEIBOTYPSIJQGFBPPSFGSUWLCNFJDDXHHWRZXVDFULGZPOQUUQQVNWOLHXZAOOMPKB (73c) XXRCBMAABHWIOIZQUPVYWJFJNFQAEQWSWURLHLWB (40c) EYBMPJDMTSCVFYNUQQGELHKNTYURLYBLNGLHOOOKERVFUNWWSLGBSUJWOOSQOMBUQQHZMF (71c) -- Tüm büyük harf, yüksek entropi = şifreli yapılandırma verileri -- MD5CryptoServiceProvider + CreateDecryptor kombinasyonu: - RecordBreaker: bu anahtarları MD5 hash'leyerek C2 config çözüyor - "XHYOUUZA..." → MD5 → AES anahtar → C2 adres/port decrypt
C:\Users\press Debug PDB + 050NK772EXE
C:\Users\press\AppData\Local\Temp\Report.A66214F7-6635-4084-8609-050NK772EXE\obj\Debug -- "press" = kısa geliştirici kullanıcı adı (5 karakter) -- "050NK772EXE" = standart dışı GUID bileşeni! - Normal GUID: sadece hex [0-9A-F] - "NK" + "EXE" = non-hex karakterler → özel sürüm/variant etiket -- "obj\Debug" = debug derlemesi (test/geliştirme aşaması)
IOC
| SHA256 | aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2c7 |
|---|---|
| Geliştirici | "press" (Debug PDB) |
RecordBreaker — Malware Profile
RecordBreaker Raccoon 2.0 stealer. BABYKEYXOE XOR key hidden message. 72-char uppercase encrypted config. press developer debug PDB. MD5 decryptor.
Malware Type
Infostealer
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows
Also Known As (AKA)
Raccoon2
Technical Details
Infostealer ailesi: TCP C2 protokolu, kalicilik mekanizmasi (Registry/Task Scheduler), keylogger, ekran goruntüsü, uzak kabuk, dosya yoneticisi, process manager, anti-analiz kontrolleri
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — RecordBreaker
# SHA256
aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2
| Type | Value | Note |
|---|---|---|
| sha256 | aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2 |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 188.120.241.201 | ip | 80 | HTTP | active | RU |
| 103.124.105.230 | ip | 443 | HTTPS | inactive | IN |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.