ALLATORI: Ticari Java obfuscator -- malware geliştiricileri tarafindan tespiti atlatmak icin kullaniliyor!
String: "Obfuscation by Allatori Obfuscator https://allatori.com"\nMain-Class: a.IIlIlllIIII (l/I karismasi - gorsel karmasiklik)\n\nSinif isimleri (a/ paketinde):\n IIlIlllIIII.class (main class)\n lIlIIlllIII.class\n lIllIllIIll.class\n lIllllIIIII.class\n lIllIlllllI.class\nBu isim deseni Allatori'nin "use number obfuscation" secenegiyle olusturulur.
JNA Windows API Seti
Java Native Access (com.sun.jna.*) kutuphanesi ile Windows API cagrisi:\n\n win32/Advapi32 -- Registry, servis yonetimi, token manipulasyonu\n win32/IPHlpAPI -- IP adresi sorgulama, network interfaceleri\n win32/Shell32 -- Dosya/uygulama calistirma (ShellExecute)\n win32/Cfgmgr32 -- Donanim listesi, aygit yoneticisi\n win32/BaseTSD -- Windows tip tanimlari (DWORD_PTR, etc.)\n\nBu Windows API seti klasik RAT yeteneklerini saglar:\n -> Advapi32: registry yazma (persistence), proses token\n -> Shell32: keylogger, dosya calistirma\n -> IPHlpAPI: ag arayuzu bilgisi (IP theft, network map)
Teknik Ozet
1d5bea0a, Allatori Java Obfuscator ile tam sifre korumasina alinmis 1.6MB Java RAT paketidir. Obfuske edilmis sinif isimleri (IIlIlllIIII, lIllIllIIll) Allatori'nin tipik ciktilarini yansitir. JNA (Java Native Access) kutuphanesi ile dogrudan Windows API cagrilari yapilir: Advapi32 (registry, servis, token), Shell32 (shellexecute), IPHlpAPI (network info). Bu mimari Adwind/jRAT, Jabber-Bot ve benzeri Java tabanli uzaktan erisim araclariyla uyumludur. Cleartext C2 adresi statik analizle elde edilemedi (sikistirma veya sifreli konfigurasyonda sakli).
Allatori Java Obfuscator ile korunmus Java RAT. Ana sinif a.IIlIlllIIII (l/I karistirma obfuske). JNA (Java Native Access) kullanarak Windows API cagrisi yapar: Advapi32 (registry/token), Shell32 (shellexecute), IPHlpAPI (network). Adwind/jRAT/Jabber-Bot ailesine benzemiyor. Cleartext C2 yok.