Manuel Statik Analiz — SilenceRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA256c3b3640ddf53b26f756208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Boyut756.208 byte (738KB, DLL formatı)
String Sayisi8.445

SSL_CTX_config: OpenSSL TLS C2 Kanalı

TLS C2: OpenSSL ile şifreli C2 iletişimi!
SSL_CTX_config (OpenSSL API)
-- SSL_CTX = OpenSSL SSL bağlam yapısı
-- "_config" = OpenSSL konfigürasyon alt sistemi
-- SilenceRAT: standart HTTPS yerine doğrudan OpenSSL TLS kullanıyor
-- Neden? TLS parmak izi → tam kontrol (özel cipher suite seçimi)
-- AV/sandbox: meşru HTTPS trafiği gibi görünür
-- Silence APT: Rusya bağlantılı finans kuruluşu saldırıları

Beş C2 Substring

C21kyy{      -- büyük C2 + 1kyy + süslü parantez
b654c2       -- b654 + c2
:4c26        -- iki nokta + 4c26
(c2!%        -- parantez + c2 + !%
MCC2UQ@+*ik  -- MC + büyük C2 + UQ + özel karakterler

portuguese-brazilian: Brezilya Portekizcesi Locale

portuguese-brazilian
-- Locale string: pt-BR (Brezilya Portekizcesi)
-- Olası açıklamalar:
-- 1) SilenceRAT Brezilya'yı da hedef alıyor
-- 2) OpenSSL/kütüphane içinde locale string (FP olabilir)
-- 3) Geliştirici veya C2 altyapısı Brezilya'dan
-- Silence APT: genellikle Rusya/CIS bankalarını hedef alır — Brezilya ilgi çekici

IOC

SHA256c3b3640ddf53b26f756208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
ProtokolOpenSSL TLS (SSL_CTX_config)

SilenceRAT — Malware Profile

SilenceRAT Silence APT Rusya bağlantılı. SSL_CTX_config OpenSSL TLS C2. Finans kuruluşları hedef.

Malware Type
RAT
Programming Language
C++
C2 Protocol
OpenSSL TLS
Target Systems
Rusya/CIS

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — SilenceRAT
# SHA256 c3b3640ddf53b26f756208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 c3b3640ddf53b26f756208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Tags
silenceratsilence-aptssl-ctx-config-openssl-tlstls-c2-channelfive-c2-substringsc21kyy-fragmentportuguese-brazilian-localedll-payload