Manuel Statik Analiz — RemcosRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | SCAN DOC LOI.r00 (taranmış belge + Fransız hukuk terimi!) |
| Boyut | 1.295.510 byte (1.24MB) |
| String Sayisi | 6.102 |
SCAN DOC LOI.r00: Fransızca Lür + Çok Parçalı RAR
LÜR: Fransızca hukuk belgesi taranmış dosya taktiği!
SCAN DOC LOI.r00
-- "SCAN DOC" = taranmış belge (sözde faks/tarayıcıdan gelen)
-- "LOI" = Fransızca "loi" = kanun/yasa! (İngilizce: law)
VEYA İngilizce LOI = Letter of Intent (niyet mektubu)
-- ".r00" = çok parçalı RAR arşivinin İLK parçası!
→ .r00 + .r01 + .r02 + ... + .rar = tam arşiv
-- Çok parçalı RAR: tek payload → parçalara böl → tespiti zorlaştır
-- Fransız/Fransızca konuşan hedef: Belgium, Luxembourg, Switzerland, France
Beş C2 Substring
1c2Zk -- 1 c2 Z k
|Zc2&$j% -- pipe Z c2 & $ j yüzde
(7<#8{c2z~ -- parantez 7 küçüktür # 8 süslü c2 z tilde
9:LC2 -- 9 iki nokta L C2
$/Zrc2 -- $ / Z r c2
IOC
| SHA256 | 3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | SCAN DOC LOI.r00 (Fransızca) |
| Format | Çok parçalı RAR (.r00) |
Remcos — Malware Profile
RemcosRAT. SCAN DOC LOI.r00 multipart RAR. French LOI law lure. Five c2 substrings. Breaking-Security developer.
Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/SSL
Target Systems
Windows
Also Known As (AKA)
RemcosRAT
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — Remcos
# SHA256
3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2 Servers (3 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| BreakingSecurity.net | domain | — | HTTP | active | — |
| pro.ip-api.com | domain | — | HTTP | active | — |
| UNKNOWN_HOST | unknown | 20343 | TCP | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.