Manuel Statik Analiz (LLM Okumali) — VenomRAT | Tehdit: YUKSEK

Dosya Kimligi

SHA256e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29
Boyut75.776 byte (~74 KB)
Calisma Zamani.NET Framework 4.0 (v4.0.30319)

Analiz

Bu VenomRAT ornegi sikistirilmis formatta. Binary'de KeylogMutexString, MutexControl, CloseMutex, CreateMutex string'leri tespit edilmistir; bunlar VenomRAT'a has belirleyicilerdir. C2 endpoint'i runtime'da sifre cozulerek kullanilmaktadir.

C2 Altyapisi

C2 sifrelenmis (AES/XOR), statik analizde gorunur degildir. VenomRAT genellikle TCP C2 kullanir, port 4449 veya 3001 default portlari olarak bilinir.

Bilinen VenomRAT Yetenekleri

  • Uzaktan komut yürütme
  • Keylogger (KeylogMutexString belirleyicisi)
  • Ekran goruntüsü
  • Dosya yonetimi
  • Tarayici sifre calma
  • Process injection
  • Ters baglanti (reverse connect) TCP

IOC

SHA256e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29
C2Sifrelenmis (TCP, dinamik analiz gerekli)

VenomRAT — Malware Profile

VenomRAT .NET 2021 QuasarRAT fork. golink.com URL shortener C2. AllowSmartScreen bypass. HVNC+keylogger+stealer.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/SSL
Target Systems
Windows

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — VenomRAT
# SHA256 e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29
TypeValueNote
sha256 e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29
Tags
venomratratdotnetpackedkeyloggersifrelic2statik-analiz