Manuel Statik Analiz — WshRAT | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 3df4108529c93e8f2b1dcba6f72af5c89e341fc2a7a6985db42c96e803f4c1d8 |
|---|---|
| Dosya Adı | TTCOPYREF251088.vbs (Takip Referanslı VBS Teslimat!) |
| Boyut | 1.828.708 byte (1.74MB) |
| String Sayisi | 213 (yüksek obfuskasyon) |
TTCOPYREF251088.vbs: Takip Numaralı VBS Teslimat
TTCOPYREF251088.vbs -- "TT" = Freight/kargo prefix (DHL TT numarası formatı!) -- "COPYREF" = Copy Reference (belge referans kopyası) -- "251088" = referans numarası (tarih formatı: 25/10/88?) -- ".vbs" = VBScript (Windows Script Host tarafından çalıştırılır) -- Teslimat senaryosu: kargo/kurye takip referanslı e-posta eki - "Gönderi bilgilerinizi görmek için eki açın" - Windows: .vbs dosyaları çift tıkla doğrudan çalışır -- 1.74MB VBS: payload inline base64/string obfuskasyon içeriyor
jcYlyhzds...QqoK: Aşırı Uzun Rastgele Değişken Adı Obfuskasyonu
OBFUSKASyon TEKNİĞİ: Değişken adları analizi zorlaştırıyor!
jcYlyhzdsjCoseSkpwVLhJnPZKnbEqdkMseQQqoK = jcYlyhzdsjCoseSkpwVLhJnPZKnbEqdkMseQQqoK & ... -- 40+ karakter rastgele büyük/küçük harf değişken adı -- VBScript obfuskasyon: AV regex pattern'larını atlatmak için - "jcYlyhzdsjCoseSkpwVLhJnPZKnbEqdkMseQQqoK" = string buffer - " = değişken & " = string birleştirme (VBS string join) -- Teknik: payload yüzlerce parçaya bölünmüş, runtime'da birleşiyor -- Analiz zorluğu: 213 string → gerçek payload tek değişkende birleşiyor -- WshRAT: "Windows Scripting Host RAT" - VBS/JS/WSF dosyaları aracılığıyla dağıtım - WScript.Shell üzerinden komuta bağlanma - Keylogger, screenshot, download/upload yetenekleri
IOC
| SHA256 | 3df4108529c93e8f2b1dcba6f72af5c89e341fc2a7a6985db42c96e803f4c1d8 |
|---|---|
| Lure | TTCOPYREF251088.vbs |
WshRAT — Malware Profile
WshRAT Windows Scripting Host RAT. TTCOPYREF VBS cargo tracking delivery. Long random variable obfuscation. String concatenation payload reconstruction.
Malware Type
RAT
Programming Language
VBScript
C2 Protocol
TCP/HTTP
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — WshRAT
# SHA256
3df4108529c93e8f2b1dcba6f72af5c89e341fc2a7a6985db42c96e803f4c1d8
| Type | Value | Note |
|---|---|---|
| sha256 | 3df4108529c93e8f2b1dcba6f72af5c89e341fc2a7a6985db42c96e803f4c1d8 |