Manuel Statik Analiz — Remcos RAT | Tehdit: YUKSEK

Dosya Kimliği

SHA2563d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıSCAN DOC LOI.r00 (RAR arşiv birinci parçası)
Boyut1.295.510 byte (1.2MB)
String Sayisi2.854

Belge Tarama / LOI Sosyal Mühendislik

SCAN DOC LOI.r00
-- "SCAN DOC" = taranan belge (sahte fax/e-posta eki)
-- "LOI" = Letter of Intent (Niyet Mektubu) — iş anlaşması belgesi
-- ".r00" = çok parçalı RAR arşivinin ilk parçası (.r01, .r02... ile devam eder)
-- İş/finans bölümlerine yönelik sosyal mühendislik
-- Çok parçalı RAR: antivirüs imza tespitini zorlaştırır

PDB: svch0st.877.exe (svchost Typosquat)

Geliştirici Tespit: Windows svchost.exe'nin bilinçli typosquatı!
C:\Users\admin\AppData\Local\Temp\svch0st.877.exe
-- "svch0st" = svchost ile aynı görünüm ama 'o' → '0' (sıfır) değiştirilmiş
-- ".877" = rastgele PID ekleme (process karmaşası için)
-- C:\Users\admin\AppData\Local\Temp\ = geliştirici "admin" kullanıcı adı
-- Saldırgan binary'yi svchost kılığında Temp'e bırakıyor
-- Process listeleri: svch0st görünürde svchost gibi görünür

İletişim Email: AbbsChevis@protonmail.com

AbbsChevis@protonmail.com
-- Saldırgan iletişim emaili (fidye/C2 operatör)
-- "Abbs" + "Chevis" = takma ad
-- Protonmail = şifreli email (anonim kalma amacıyla)

Üçlü NT API Anti-Analiz

NtQuerySystemInformation -- kernel debug modu tespiti
NtQueryObject            -- debug handle tip kontrolü
NtQuerySemaphore         -- semafor sayısı kontrol (nadir teknik!)
-- NtQuerySemaphore ile SemaphoreQueryInformation:
   Debugger bazı araçlar semafor sayaçlarını değiştirir →
   tutarsız sayaç = debugger var
-- Bu teknik çoğu sandbox'ta ve statik analiz imzalarında nadir görülür

Boost C++ ve Kriptografi

"boost unique_lock has no mutex"
"boost unique_lock doesn't own the mutex"
-- Remcos Boost C++ library kullanıyor (iş parçacığı güvenli mutex)
MIGdMA0G...  -- DER formatı RSA public key başlığı
"CipherModeBase: feedback size cannot be specified for this cipher mode"
-- Crypto++ kütüphanesi (AES/RC4 C2 iletişim şifrelemesi)

IOC

SHA2563d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureSCAN DOC LOI.r00 (Niyet Mektubu tarama)
PDBC:\Users\admin\AppData\Local\Temp\svch0st.877.exe
EmailAbbsChevis@protonmail.com

Remcos2 — Malware Profile

Remcos RAT Breaking-Security. SCAN DOC LOI RAR lure. svch0st typosquat PDB. Boost C++ Crypto++. NtQuerySemaphore.

Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/RC4
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — Remcos2
# EMAIL AbbsChevis@protonmail.com
TypeValueNote
email AbbsChevis@protonmail.com
Tags
remcosscan-doc-loi-r00rar-archive-luresvch0st-877-pdbsvchost-typosquatabbschevis-protonmailntquerysemaphorentquerysysteminfontqueryobjectboost-cryptoletter-of-intent-lure