Manuel Statik Analiz — XenoRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | a87cf0954145c8c8378880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | UpdateWindowns.exe (YAZIM HATASI: Windows → Windowns!) |
| Boyut | 378.880 byte (370KB) |
| String Sayisi | 1.832 |
UpdateWindowns.exe: Windows Update Yazım Hatalı Sahte Güncelleme
TYPO LURE: "Windowns" — Windows yanlış yazılmış!
UpdateWindowns.exe -- "Windowns" ≠ "Windows" (fazladan "n" harfi) -- Sahte Windows Update executable: "UpdateWindows.exe" gibi görünmek istiyor -- Yazım hatası: hızlı hazırlık veya dilbilgisi farklılığı (anadili İngilizce değil) -- Dağıtım: sosyal mühendislik + "Windows güncellemeniz var" mesajı
localto.net: Tünel Servisi C2
localto.net -- LocalTunnel benzeri servis: localhost'u internete açan tünel -- XenoRAT operatörü: kendi C2'sini localto.net üzerinden tüneliyor -- Tünel servisi: gerçek C2 IP'yi gizler -- Güvenlik araçları: localto.net meşru servis olarak görür -- Aynı taktik: ngrok, serveo, pagekite ile C2 gizleme
Costura.Fody: .NET Assembly Gömme/Paketleme
costura.costura.dll.compressed|6.1.0.0|Costura, Version=6.1.0.0 -- Costura.Fody = .NET DLL'lerini exe içine gömen pakeleyici -- "dll.compressed" = DLL'ler sıkıştırılmış kaynak olarak gömülü -- XenoRAT: tüm bağımlılıklarını tek exe'ye paketlemiş -- Analiz zorluğu: DLL'ler ayrı değil, tek binary'de
IOC
| SHA256 | a87cf0954145c8c8378880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| C2 | localto.net |
| Taklit | UpdateWindowns.exe (Windows Update typo) |
XenoRAT — Malware Profile
Open-source C# RAT (GitHub: moom825/xeno-rat). SharpDX DirectX screen capture. Costura embedded DLLs. AddToStartupNonAdmin persistence. Reverse tunnel via localto.net. Future timestamp anti-analysis. UpdateWindowns.exe typo lure.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/TLS
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (2 indicators)
IOC — XenoRAT
# IP
6.1.0.0
# DOMAIN
localto.net
| Type | Value | Note |
|---|---|---|
| ip | 6.1.0.0 | |
| domain | localto.net |
C2 Servers (1 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| localto.net | domain | 443 | HTTPS | active | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.