Manuel Statik Analiz — VenomRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 6d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Boyut | 1.510.400 byte (1.5MB) |
| String Sayisi | 9.345 |
SCM/LSA Kayıt Defteri ile Kalıcılık
Persistence: Windows Servis ve LSA konfigürasyonu!
SYSTEM\CurrentControlSet\Control\SCMConfig LsaConfigFlags ConfigureAppInstallControlE[xtended] -- "SCMConfig" = Service Control Manager Config (Servis Yöneticisi) -- "LsaConfigFlags" = LSA (Local Security Authority) konfigürasyon bayrakları -- VenomRAT SCM üzerinden Windows servisi olarak kaydoluyor -- LsaConfigFlags manipülasyonu: güvenlik kısıtlamalarını devre dışı bırakma -- ConfigureAppInstallControl = Microsoft Store uygulama yükleme politikası
Üçlü Anti-Debug
NtQueryInformationProcess -- Kernel-level process info sorgusu GetTickCount -- Zamanlama ölçümü IsDebuggerPresent -- Standart debugger tespiti -- 3 farklı katmanda anti-debug: 1. User-mode: IsDebuggerPresent 2. Timing: GetTickCount (single-step yavaşlığı tespiti) 3. Kernel: NtQueryInformationProcess (DebugPort/DebugObject sorgusu)
IOC
| SHA256 | 6d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Persistence | SCMConfig + LsaConfigFlags registry |
VenomRAT2 — Malware Profile
VenomRAT SCMConfig LsaConfigFlags service persistence. NtQueryInformationProcess triple anti-debug. Windows service install.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/HTTPS
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — VenomRAT2
# SHA256
6d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 6d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |