Manuel Statik Analiz — VenomRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 6d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Boyut | 1.510.400 byte (1.5MB) |
| String Sayisi | 9.345 |
URL Shortener C2 Maskeleme
https://www.golink.com/ -- GoLink = URL shortener/yönlendirme servisi -- Gerçek C2 IP'si kısaltıcı arkasında gizlenir -- GoLink değiştirilirse → yeni C2 yönlendirme (esneklik!) -- Whitelist engellerini aşar: golink.com meşru görünür
Microsoft SmartScreen Bypass
SOFTWARE\Microsoft\PolicyManager\default\Browser\AllowSmartScreen -- SmartScreen = indirilen dosyaları bulut tabanlı tarama -- Bu registry key = MDM/GPO SmartScreen kontrolü -- 0 değerine ayarlanırsa SmartScreen devre dışı kalır! -- UAC/SmartScreen bypass → payload'ı uyarısız çalıştırır
IOC
| SHA256 | 6d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 Maskeleme | golink.com (URL shortener) |
| Bypass | Browser\AllowSmartScreen registry |
VenomRAT — Malware Profile
VenomRAT .NET 2021 QuasarRAT fork. golink.com URL shortener C2. AllowSmartScreen bypass. HVNC+keylogger+stealer.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/SSL
Target Systems
Windows
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — VenomRAT
# DOMAIN
golink.com
| Type | Value | Note |
|---|---|---|
| domain | golink.com |