Manuel Statik Analiz (LLM Okumali) — Remcos RAT v7.1.0 | Tehdit: CRITICAL

Dosya Kimligi

SHA25640079f05ba7cdccac1f62f8e7e1b644bc0a806b58465f5c005725bc54ee73ef1
Orijinal Ad07_remcos_agent_7.1.0.bin
Boyut514.188 byte (~502 KB)
PE TipiPE32 (x86 GUI) — C++ ile yazilmis yerel Windows uygulamasi
MD5496caac1fa6369e93cb48970f72e26da
VersiyonRemcos v7.1.0
YazarBreakingSecurity.net
Sections6 (.text, .rdata, .data, .rsrc, .reloc, + TLS)
Entropi6.60 (normal)

C2 Altyapisi

C2 Port: 20343 — SETTINGS binary blobunda tespit edildi (cleartext port degeri). C2 host adresi ayni binary blob icerisinde sifrelenmis durumda; statik analizle elde edilemedi.
C2 Port20343 (SETTINGS kaynagindan — yuksek guven)
C2 HostSifrelenmis (SETTINGS XOR/encoded blob)
ProtokolTLS 1.3 — TLS13-AES128-GCM-SHA256 sifre paketi
SertifikaGomulmus RSA/EC/DSA ozel anahtarlar + PEM sertifika
KeepAliveEtkin — yapilandirilabilir zaman asimi

Kurulum ve Kalicilik

Dropped Filermclient.exe (Remcos agent dosyasi)
Registry RunHKCU\Software\Microsoft\Windows\CurrentVersion\Run
WatchdogAjan sonlandirilirsa otomatik yeniden baslatma
UAC Bypassreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0

Teknik Yetenekler

1. Keylogger (Gelismis)

  • Online modu: Gercesk zamanli tus kaydi C2'ye aktariliyor
  • Offline modu: Baglanti kesildiginde yerel dosyada saklanir, sonra gonderilir
  • Capturess: [F1]-[F12], [Ctrl+V], [AltL/R], pano icerik kopyalari, acik pencere basliklari

2. Dosya Yoneticisi

  • Dosya indirme / yukleme (C2'ye)
  • Dizin tarama
  • Dosya silme / yuklu ZIP/UnZIP destegi
  • Dosya calistirma

3. Tarayici Sifre/Cerez Hirsizligi

  • \AppData\Local\Google\Chrome\User Data\Default\Login Data
  • \AppData\Local\Google\Chrome\User Data\Default\Cookies
  • \AppData\Roaming\Mozilla\Firefox\Profiles\
  • Brave Browser destegi
  • RecoverCookies modulu (CookLib)

4. Uzaktan Erisim ve Kontrol

  • Ekran goruntuleri
  • Kamera (OpenCamera/CloseCamera/GetFrame)
  • Uzak kabuk (cmd.exe)
  • Proses listeleme / sonlandirma
  • NtSuspendProcess / NtResumeProcess (anti-analiz)

5. Proses Injection (Process Hollowing)

  • NtCreateSection, NtMapViewOfSection, NtWriteFile
  • CreateProcessInternalW ile hollow process olusturma
  • 64-bit destegin 32-bit agent uzerinden etkinlestirilmesi

6. Anti-Analiz

  • TLS sifreleme ile ag trafikGİ izlemeye karsi koruma
  • Watchdog ile agent yeniden baslatma
  • UAC bypass ile yuksek yetki kazanma
  • Gomulmus ozel anahtarlar ile sahte sertifika tespitini engelleme

IOC'lar

SHA25640079f05ba7cdccac1f62f8e7e1b644bc0a806b58465f5c005725bc54ee73ef1
MD5496caac1fa6369e93cb48970f72e26da
C2 Port20343 (TCP/TLS)
Dropped Filermclient.exe
RegistryHKCU\Software\Microsoft\Windows\CurrentVersion\Run
TLS CipherTLS13-AES128-GCM-SHA256

Nasil Kaldiriliir?

  1. Process sonlandirma: Gorev Yoneticisinde rmclient.exe ve svchost.exe icin Remcos baglantisi arayin
  2. Registry temizligi: HKCU\Software\Microsoft\Windows\CurrentVersion\Run altinda suphelik giris silin
  3. Dosya silme: AppData, Temp ve System32 altindaki rmclient.exe dosyasini silin
  4. Ag engeli: Port 20343 TCP giden baglantilari guvvenlik duvari kurallarindan kapatin
  5. AV tarama: Guncel imzalarla tam sistem taramasi yapin

Teknik Ozet

Remcos RAT v7.1.0, C++ ile gelistirilmis, ticari olarak satilan ancak yayginca kotu amacli kullanilan bir Uzak Erisim Trojan'idir (BreakingSecurity.net). Bu ornek, TLS 1.3 ile sifrelenmis C2 iletisimi (port 20343), kapsamli keylogger, tarayici sifre/cerez hirsizligi, webcam erisimi, proses injection (process hollowing), UAC bypass ve watchdog kalicilik mekanizmasini icerir. C2 host adresi SETTINGS kaynaginda XOR/kodlanmis durumda olup sandbox analizi gerekmektedir. Dropped agent dosyasi rmclient.exe olarak kaydedilmektedir.

Remcos — Malware Profile

RemcosRAT. SCAN DOC LOI.r00 multipart RAR. French LOI law lure. Five c2 substrings. Breaking-Security developer.

Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/SSL
Target Systems
Windows
Also Known As (AKA)
RemcosRAT

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (5 indicators)

IOC — Remcos
# 20343 # SHA256 40079f05ba7cdccac1f62f8e7e1b644bc0a806b58465f5c005725bc54ee73ef1 # MD5 496caac1fa6369e93cb48970f72e26da # REGISTRY HKCU\Software\Microsoft\Windows\CurrentVersion\Run # FILEPATH rmclient.exe
TypeValueNote
20343
sha256 40079f05ba7cdccac1f62f8e7e1b644bc0a806b58465f5c005725bc54ee73ef1
md5 496caac1fa6369e93cb48970f72e26da
registry HKCU\Software\Microsoft\Windows\CurrentVersion\Run
filepath rmclient.exe

C2 Servers (3 recorded servers for this family)

Address Type Port Protocol Status Country
BreakingSecurity.net domain — HTTP active —
pro.ip-api.com domain — HTTP active —
UNKNOWN_HOST unknown 20343 TCP inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
remcosratv7.1.0tls13port-20343keyloggeruac-bypassprocess-hollowingbrowser-stealerc++statik-analiz