PE32 (x86 GUI) — C++ ile yazilmis yerel Windows uygulamasi
MD5
496caac1fa6369e93cb48970f72e26da
Versiyon
Remcos v7.1.0
Yazar
BreakingSecurity.net
Sections
6 (.text, .rdata, .data, .rsrc, .reloc, + TLS)
Entropi
6.60 (normal)
C2 Altyapisi
C2 Port: 20343 — SETTINGS binary blobunda tespit edildi (cleartext port degeri).
C2 host adresi ayni binary blob icerisinde sifrelenmis durumda; statik analizle elde edilemedi.
Dosya silme: AppData, Temp ve System32 altindaki rmclient.exe dosyasini silin
Ag engeli: Port 20343 TCP giden baglantilari guvvenlik duvari kurallarindan kapatin
AV tarama: Guncel imzalarla tam sistem taramasi yapin
Teknik Ozet
Remcos RAT v7.1.0, C++ ile gelistirilmis, ticari olarak satilan ancak yayginca kotu amacli
kullanilan bir Uzak Erisim Trojan'idir (BreakingSecurity.net). Bu ornek, TLS 1.3 ile sifrelenmis
C2 iletisimi (port 20343), kapsamli keylogger, tarayici sifre/cerez hirsizligi, webcam erisimi,
proses injection (process hollowing), UAC bypass ve watchdog kalicilik mekanizmasini icerir.
C2 host adresi SETTINGS kaynaginda XOR/kodlanmis durumda olup sandbox analizi gerekmektedir.
Dropped agent dosyasi rmclient.exe olarak kaydedilmektedir.
Remcos — Malware Profile
RemcosRAT. SCAN DOC LOI.r00 multipart RAR. French LOI law lure. Five c2 substrings. Breaking-Security developer.