Derin Analiz - Allatori Obfuscated Java RAT (JNA) | Tehdit: YUKSEK

Dosya Kimligi

SHA2561d5bea0ae5facf0159f35ea0bead65369ceb83942cc7073cb459ff06c6f82f0b
Boyut1,668,827 byte (1.6 MB) Java Archive (JAR)
ObfusikasyonAllatori Java Obfuscator (allatori.com)
Main-Classa.IIlIlllIIII (agir obfuske, Allatori imzasi)

Allatori Obfuske Imzasi

ALLATORI: Ticari Java obfuscator -- malware geliştiricileri tarafindan tespiti atlatmak icin kullaniliyor!
String: "Obfuscation by Allatori Obfuscator https://allatori.com"\nMain-Class: a.IIlIlllIIII (l/I karismasi - gorsel karmasiklik)\n\nSinif isimleri (a/ paketinde):\n  IIlIlllIIII.class  (main class)\n  lIlIIlllIII.class\n  lIllIllIIll.class\n  lIllllIIIII.class\n  lIllIlllllI.class\nBu isim deseni Allatori'nin "use number obfuscation" secenegiyle olusturulur.

JNA Windows API Seti

Java Native Access (com.sun.jna.*) kutuphanesi ile Windows API cagrisi:\n\n  win32/Advapi32   -- Registry, servis yonetimi, token manipulasyonu\n  win32/IPHlpAPI   -- IP adresi sorgulama, network interfaceleri\n  win32/Shell32    -- Dosya/uygulama calistirma (ShellExecute)\n  win32/Cfgmgr32   -- Donanim listesi, aygit yoneticisi\n  win32/BaseTSD    -- Windows tip tanimlari (DWORD_PTR, etc.)\n\nBu Windows API seti klasik RAT yeteneklerini saglar:\n  -> Advapi32: registry yazma (persistence), proses token\n  -> Shell32: keylogger, dosya calistirma\n  -> IPHlpAPI: ag arayuzu bilgisi (IP theft, network map)

Teknik Ozet

1d5bea0a, Allatori Java Obfuscator ile tam sifre korumasina alinmis 1.6MB Java RAT paketidir. Obfuske edilmis sinif isimleri (IIlIlllIIII, lIllIllIIll) Allatori'nin tipik ciktilarini yansitir. JNA (Java Native Access) kutuphanesi ile dogrudan Windows API cagrilari yapilir: Advapi32 (registry, servis, token), Shell32 (shellexecute), IPHlpAPI (network info). Bu mimari Adwind/jRAT, Jabber-Bot ve benzeri Java tabanli uzaktan erisim araclariyla uyumludur. Cleartext C2 adresi statik analizle elde edilemedi (sikistirma veya sifreli konfigurasyonda sakli).

IOC

SHA2561d5bea0ae5facf0159f35ea0bead65369ceb83942cc7073cb459ff06c6f82f0b
Main-Classa.IIlIlllIIII (Allatori obfuske)
ObfuscatorAllatori Java Obfuscator (allatori.com)
Windows APIJNA: Advapi32, Shell32, IPHlpAPI, Cfgmgr32

AllatoriJavaRAT — Malware Profile

Allatori Java Obfuscator ile korunmus Java RAT. Ana sinif a.IIlIlllIIII (l/I karistirma obfuske). JNA (Java Native Access) kullanarak Windows API cagrisi yapar: Advapi32 (registry/token), Shell32 (shellexecute), IPHlpAPI (network). Adwind/jRAT/Jabber-Bot ailesine benzemiyor. Cleartext C2 yok.

Malware Type
RAT
Programming Language
Java
C2 Protocol
custom
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — AllatoriJavaRAT
# SHA256 1d5bea0ae5facf0159f35ea0bead65369ceb83942cc7073cb459ff06c6f82f0b
TypeValueNote
sha256 1d5bea0ae5facf0159f35ea0bead65369ceb83942cc7073cb459ff06c6f82f0b
Tags
java-rat-malwareallatori-java-obfuscatorjna-java-native-accesswin32-advapi32-registry-tokenwin32-shell32-shellexecutewin32-iphelpapi-networkwin32-cfgmgr32-device-managerobfuscated-class-names-ilillladwind-jrat-stylejar-malware-1.6mbmain-class-obfuscation