Manuel Statik Analiz — VenomRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA2566d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut1.510.400 byte (1.5MB)
String Sayisi9.345

SCM/LSA Kayıt Defteri ile Kalıcılık

Persistence: Windows Servis ve LSA konfigürasyonu!
SYSTEM\CurrentControlSet\Control\SCMConfig
LsaConfigFlags
ConfigureAppInstallControlE[xtended]
-- "SCMConfig" = Service Control Manager Config (Servis Yöneticisi)
-- "LsaConfigFlags" = LSA (Local Security Authority) konfigürasyon bayrakları
-- VenomRAT SCM üzerinden Windows servisi olarak kaydoluyor
-- LsaConfigFlags manipülasyonu: güvenlik kısıtlamalarını devre dışı bırakma
-- ConfigureAppInstallControl = Microsoft Store uygulama yükleme politikası

Üçlü Anti-Debug

NtQueryInformationProcess  -- Kernel-level process info sorgusu
GetTickCount               -- Zamanlama ölçümü
IsDebuggerPresent          -- Standart debugger tespiti
-- 3 farklı katmanda anti-debug:
  1. User-mode: IsDebuggerPresent
  2. Timing: GetTickCount (single-step yavaşlığı tespiti)
  3. Kernel: NtQueryInformationProcess (DebugPort/DebugObject sorgusu)

IOC

SHA2566d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
PersistenceSCMConfig + LsaConfigFlags registry

VenomRAT2 — Malware Profile

VenomRAT SCMConfig LsaConfigFlags service persistence. NtQueryInformationProcess triple anti-debug. Windows service install.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/HTTPS
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — VenomRAT2
# SHA256 6d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 6d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
venomratscmconfig-persistencelsaconfigflags-registryconfigureappinstallcontrolentqueryinformationprocesstriple-antidebugservice-persistence