Manuel Statik Analiz — SectopRAT | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | GARDEN.ps1 (rastgele İngilizce kelime PS ismi) |
| Boyut | 1.096.950 byte (1.1MB PowerShell) |
| String Sayisi | 16.517 |
Rastgele İngilizce Kelime Değişken Adları
Obfuskasyon: Warmcookie tarzı PS obfuskasyon!
Set-StrictMode -Version 2
$NeckImport = 0; while ($NeckImport -lt 3) { $ContinentalIc...
-- "$NeckImport" = anlamsız İngilizce kelime kombinasyonu (Neck + Import)
-- "$ContinentalIc[e/...] = Continental + Ice (Warmcookie obfuskasyon stili!)
-- GARDEN.ps1: PowerShell dosya adı da rastgele kelime
-- Set-StrictMode -Version 2: sıkı tip kontrolü → hata mesajlarını gizler
-- Warmcookie ile aynı obfuskasyon tekniği: gerçek kelimeler + bağlamı yok
Base64 Config Stringleri
LNaE9KsyhcWralNxyx9cmiRy2TdkkNblmrWrsPHNiwMICujG2oYiHnEr5R8cylqUN5HLr422FJ78AOu0 sVbhz1/7CclKSb0lc2w6hfw2dXiW7g51TCmLpzrD3T3gQCrSVUU1nEg0EPS/0ixizvgaUPRYMuAyTqnT -- Uzun base64 stringleri: şifreli C2 config veya anahtar -- "lc2w6" substring: "lc2" = c2 referansı (l prefix + c2 + w6 suffix) -- "KSb0lc2w6hfw2" = decode edilince C2 bilgisi içeriyor
IOC
| SHA256 | 4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya | GARDEN.ps1 (rastgele kelime PowerShell) |
SectopRAT — Malware Profile
SectopRAT ArechClient2. GARDEN.ps1 PS loader. locationPhysicians4230.su .su C2. $NeckImport retry 3. Auth token 80 char.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Windows
Also Known As (AKA)
ArechClient
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — SectopRAT
# SHA256
4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| locationphysicians4230.su | domain | 443 | HTTPS | inactive | — |
| locationphysicians4230.su | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.