Manuel Statik Analiz — SectopRAT (ArechClient2) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | GARDEN.ps1 (PowerShell script yükleyici) |
| Boyut | 1.096.950 byte (1.05MB) |
| String Sayisi | 16.517 |
locationPhysicians4230.su: Sovyet TLD C2
C2 TESPİT: .su (Sovyet Birliği) TLD C2!
locationPhysicians4230.su -- ".su" = Sovyet Birliği TLD (1990'dan itibaren hâlâ aktif) -- "locationPhysicians" = doktor konum servisi taklidi -- "4230" = rastgele numara (DGA-vari) -- .su TLD: Rusya bağlantılı siber suçlular tarafından tercih edilir -- Domain registrar takibi zor → uzun süre aktif kalabilir
Kimlik Doğrulama Tokenleri
LNaE9KsyhcWralNxyx9cmiRy2TdkkNblmrWrsPHNiwMICujG2oYiHnEr5R8cylqUN5HLr422FJ78AOu0 sVbhz1/7CclKSb0lc2w6hfw2dXiW7g51TCmLpzrD3T3gQCrSVUU1nEg0EPS/0ixizvgaUPRYMuAyTqnT -- 80+ karakter karışık token'lar → C2 kimlik doğrulama -- "/" içeriyor → Base64 kodlu değer (standart Base64 alphabet) -- Her agent için benzersiz: parmak izi veya erişim anahtarı -- Token doğrulama: C2 sunucusu → "Bu agent geçerli mi?" kontrolü
$NeckImport Retry Döngüsü
Set-StrictMode -Version 2
$NeckImport = 0; while ($NeckImport -lt 3) { $ContinentalIc[...]
-- "$NeckImport" = obfuscated sayaç değişkeni (0'dan başlar)
-- "while ... -lt 3" = 3 kez dene (network retry)
-- "$ContinentalIc" = obfuscated ikinci değişken
-- SectopRAT: C2 bağlantısı başarısız olursa 3 kez tekrar dener
-- PowerShell retry mantığı → C2 anlık kapalıysa bile bekler
IOC
| SHA256 | 4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | locationPhysicians4230.su |
SectopRAT — Malware Profile
SectopRAT ArechClient2. GARDEN.ps1 PS loader. locationPhysicians4230.su .su C2. $NeckImport retry 3. Auth token 80 char.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Windows
Also Known As (AKA)
ArechClient
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — SectopRAT
# SHA256
4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 4a63b0a172980dff1096950b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| locationphysicians4230.su | domain | 443 | HTTPS | inactive | — |
| locationphysicians4230.su | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.