Derin PE Analizi — ScreenshotRAT (Report_Print.exe) | Tehdit: YUKSEK

Dosya Kimliği

SHA25623ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007
Dosya AdıReport_Print.exe (rapor yazdırma kurumsal lürü)
TürPE32+ console x86-64, TDM-GCC 4.8.1 derlenmiş, 20 sections
Entropi6.110558 (normal — sıkıştırılmamış)

BitBlt + GetDesktopWindow: Ekran Görüntüsü Yakalama

EKRAN YAKALAMA: Kurban ekranı pasif olarak izleniyor!
BitBlt: %s
GetDesktopWindow
BitBlt

-- "BitBlt: %s" = format string → BitBlt sonucu loglanan hata mesajı
-- Ekran yakalama akışı:
  1. GetDesktopWindow() → masaüstü window handle
  2. GetDC(desktop) → device context
  3. CreateCompatibleDC() → bellek DC oluştur
  4. CreateCompatibleBitmap(W, H) → bitmap tamponu
  5. BitBlt(memDC, 0,0,W,H, screenDC, 0,0, SRCCOPY) → piksel kopyala
  6. JPEG/BMP encode → C2'ye gönder
-- "BitBlt: %s" format string: hata ayıklama/loglama → dev build kanıtı
-- Periyodik ekran yakalama: her X saniyede/dakikada screenshot al

SetThreadContext: Proses Enjeksiyonu

SetThreadContext
-- Proses enjeksiyon tekniği: iş parçacığı bağlamını değiştirerek kod yönlendirme
-- Akış:
  1. CreateProcess(target, SUSPENDED) → askıya alınmış proses oluştur
  2. VirtualAllocEx → hedef proseste bellek ayır
  3. WriteProcessMemory → payload yaz
  4. SetThreadContext → EIP/RIP = payload adresi
  5. ResumeThread → proses çalışmaya devam eder → payload başlar
-- Alternatif: GetThreadContext sonra SetThreadContext (Process Hollowing)
-- Amaç: kötü amaçlı kodu güvenilir proses kimliğiyle çalıştır

dRc20#Y! + 4c2uq|RN: Hardcoded Kimlik/Anahtar Parçaları

dRc20#Y!
-- 8 karakter: büyük + küçük harf + rakam + özel karakter
-- Pattern: tipik güçlü şifre veya şifreleme anahtarı
-- Olası kullanım:
  1. C2 kimlik doğrulama şifresi (HTTP Basic Auth veya token)
  2. XOR/AES anahtarı parçası
  3. Mutex ismi (anti-reinfection kontrolü için)
-- "Rc20" içinde "RC" → RC4 şifreleme referansı olabilir

4c2uq|RN
-- 8 karakter, pipe (|) karakteri içeriyor
-- Olası kullanım:
  1. Bot ID veya campaign token
  2. İkinci faktör/nonce
  3. Ayrıştırıcı içeren config string: "4c2uq" + "|" + "RN" iki bölümde

h:/crossdev/: TDM-GCC 4.8.1 Geliştirici Yapı Yolu

h:/crossdev/src/mingw-w64-v3-svn/mingw-w64-crt/crt  (×22)
h:/crossdev/gccmaster/host-toolchain-tdm64/x86_64-w64-mingw32/include  (×15)
GCC: (tdm64-2) 4.8.1  (×44)
GCC: (GNU) 4.8.1      (×33)
GNU C 4.8.1 -m64 -mtune=generic -march=x86-64 -g -O2 -std=gnu99  (×24)

-- "h:/" sürücüsü: geliştirici özel sürücü veya mapped drive
-- "crossdev": derleyici araç seti için özel dizin adı
-- TDM-GCC 4.8.1: 2013 tarihli MinGW-W64 derleyici seti (eski ama stabil)
  - Tercih edilme nedeni: AV imzaları yeni GCC'ye göre ayarlı → eski = az tespit
  - "tdm64-2" = TDM-GCC 64-bit, sürüm 2
-- "-g -O2" flags: debug sembolü + optimizasyon (hybrid build)
-- Bu araç seti tercihi: threat actor'un geliştirme ortamı parmak izi

IOC

SHA25623ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007
Hardcoded KimlikdRc20#Y!
Token Fragment4c2uq|RN
Build Yoluh:/crossdev/ TDM-GCC 4.8.1

ScreenshotRAT — Malware Profile

ScreenshotRAT Report_Print.exe. BitBlt+GetDesktopWindow screen capture. SetThreadContext process injection. CryptAcquireContextA. dRc20#Y! hardcoded credential. h:/crossdev/ TDM-GCC 4.8.1 developer build path.

Malware Type
RAT
Programming Language
C (MinGW)
C2 Protocol
TCP/HTTP
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (2 indicators)

IOC — ScreenshotRAT
# SHA256 23ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007 # SHA256 23ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007
TypeValueNote
sha256 23ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007
sha256 23ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007
Tags
screenshotratscreenshot-ratreport-print-exe-business-lurebitblt-getdesktopwindow-screen-capture-capabilitysetthreadcontext-process-injectioncryptacquirecontexta-windows-cryptoapidrc20y-hardcoded-credential-password-artifact4c2uqrn-hardcoded-token-key-fragmenth-crossdev-tdm-gcc-481-developer-build-pathmingw-tdm64-2-481-compiler-artifact20-sections-pe-minw-artifact