Manuel Statik Analiz — XtremeRAT | Tehdit: ORTA

Dosya Kimliği

SHA2567c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıBackdoor.Win32.Androm.jxcj-7c4fe9b2 (AV imzası ile adlandırılmış)
Boyut384.000 byte (384KB)
String Sayisi2.192

UnitServerConfigs: XtremeRAT Config Birimi

UnitServerConfigs
2UnitServerConfigs
-- XtremeRAT Delphi kaynak kodu biriminin adı!
-- "UnitServerConfigs" = XtremeRAT builder'da sunucu konfigürasyon birimi
-- Host/port/şifre config'i bu Delphi Unit içinde tutuluyor
-- "2UnitServerConfigs" = ikinci config birimi (yedek C2?)

C2 Substring + Mutex

5	c23      -- Tab karakteri ile ayrılmış c2 fragment
;{C2I       -- C2I = "C2 Identifier"?
CreateMutexW -- Mutex oluşturma (eşzamanlılık kontrolü)
GetVersionExW -- Windows versiyon kontrolü (XP/Vista/7/10 uyumluluk)

IOC

SHA2567c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
ConfigUnitServerConfigs (Delphi kaynak birimi)

XtremeRAT — Malware Profile

XtremeRAT Delphi RAT. UnitServerConfigs config unit. CreateMutexW. Backdoor.Win32.Androm imzasi. 2010dan beri aktif.

Malware Type
RAT
Programming Language
Delphi
C2 Protocol
TCP
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — XtremeRAT
# SHA256 7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
xtremeratunitserverconfigs-unitc23-substringc2i-substringcreatemutexw-mutexgetversionbackdoor-androm