Manuel Statik Analiz — Remcos RAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | SCAN DOC LOI.r00 (RAR arşiv birinci parçası) |
| Boyut | 1.295.510 byte (1.2MB) |
| String Sayisi | 2.854 |
Belge Tarama / LOI Sosyal Mühendislik
SCAN DOC LOI.r00 -- "SCAN DOC" = taranan belge (sahte fax/e-posta eki) -- "LOI" = Letter of Intent (Niyet Mektubu) — iş anlaşması belgesi -- ".r00" = çok parçalı RAR arşivinin ilk parçası (.r01, .r02... ile devam eder) -- İş/finans bölümlerine yönelik sosyal mühendislik -- Çok parçalı RAR: antivirüs imza tespitini zorlaştırır
PDB: svch0st.877.exe (svchost Typosquat)
Geliştirici Tespit: Windows svchost.exe'nin bilinçli typosquatı!
C:\Users\admin\AppData\Local\Temp\svch0st.877.exe -- "svch0st" = svchost ile aynı görünüm ama 'o' → '0' (sıfır) değiştirilmiş -- ".877" = rastgele PID ekleme (process karmaşası için) -- C:\Users\admin\AppData\Local\Temp\ = geliştirici "admin" kullanıcı adı -- Saldırgan binary'yi svchost kılığında Temp'e bırakıyor -- Process listeleri: svch0st görünürde svchost gibi görünür
İletişim Email: AbbsChevis@protonmail.com
AbbsChevis@protonmail.com -- Saldırgan iletişim emaili (fidye/C2 operatör) -- "Abbs" + "Chevis" = takma ad -- Protonmail = şifreli email (anonim kalma amacıyla)
Üçlü NT API Anti-Analiz
NtQuerySystemInformation -- kernel debug modu tespiti NtQueryObject -- debug handle tip kontrolü NtQuerySemaphore -- semafor sayısı kontrol (nadir teknik!) -- NtQuerySemaphore ile SemaphoreQueryInformation: Debugger bazı araçlar semafor sayaçlarını değiştirir → tutarsız sayaç = debugger var -- Bu teknik çoğu sandbox'ta ve statik analiz imzalarında nadir görülür
Boost C++ ve Kriptografi
"boost unique_lock has no mutex" "boost unique_lock doesn't own the mutex" -- Remcos Boost C++ library kullanıyor (iş parçacığı güvenli mutex) MIGdMA0G... -- DER formatı RSA public key başlığı "CipherModeBase: feedback size cannot be specified for this cipher mode" -- Crypto++ kütüphanesi (AES/RC4 C2 iletişim şifrelemesi)
IOC
| SHA256 | 3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | SCAN DOC LOI.r00 (Niyet Mektubu tarama) |
| PDB | C:\Users\admin\AppData\Local\Temp\svch0st.877.exe |
| AbbsChevis@protonmail.com |
Remcos2 — Malware Profile
Remcos RAT Breaking-Security. SCAN DOC LOI RAR lure. svch0st typosquat PDB. Boost C++ Crypto++. NtQuerySemaphore.
Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/RC4
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — Remcos2
# EMAIL
AbbsChevis@protonmail.com
| Type | Value | Note |
|---|---|---|
| AbbsChevis@protonmail.com |