Manuel Statik Analiz — BitRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA2565f218a535ed51ebb1511424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut1.511.424 byte (1.4MB)
String Sayisi12.819

Beş C2 Substring

C2 KALIPLAR:
V.C2I       -- Büyük V nokta C2I
tC2`6P      -- küçük t + C2 backtick 6P
tC2$C\D,;B2$  -- uzun dizi: t C2 dolar + C ters slash D
C2A7S       -- C2 + alfanumerik A7S
C2Rets?     -- C2 + "Rets" + soru işareti
-- BEŞ c2 referansı = şifreli C2 konfigürasyonunun binary izleri
-- BitRAT: Tor (.onion) veya clearnet üzerinden C2

RSA Public Key Fragmanı

ŞİFRELEME: Gömülü RSA açık anahtar!
BLIC KEY)Cj    -- "PUBLIC KEY)..." RSA PEM header parçası
PORT%          -- PORT referansı
Key?h          -- Anahtar referansı
KEY\V          -- KEY + ters slash V
-- BitRAT RSA ile C2 iletişimini şifreler
-- Public key binary içine hardcoded
-- C2 sunucusu eşleşen private key'e sahip

IOC

SHA2565f218a535ed51ebb1511424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
ŞifrelemeGömülü RSA public key (PEM header)

BitRAT — Malware Profile

BitRAT commercial RAT. golink.com dead drop C2. Windows Defender/SmartScreen/Security Guard full disable. SCMConfig LSA manipulation.

Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP
Target Systems
Windows

Technical Details

C++, AES-256 sifreleme, TCP, Hidden VNC (UltraVNC tabanli), HVNC, Keylogger, Stealer, XMRig miner dahili, UAC bypass (CMSTPLUA/COMPUTERDEFAULTS), DDoS modulu

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — BitRAT
# SHA256 5f218a535ed51ebb1511424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 5f218a535ed51ebb1511424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

C2 Servers (3 recorded servers for this family)

Address Type Port Protocol Status Country
cdn.discordapp.com domain 443 — active —
185.246.188.67 ip 9999 TCP inactive RU
cdn.discordapp.com/attachments/1217028370865455188/1222062384437526538/Fdliipctaw.mp3 domain 443 — inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
bitratfive-c2-substringsv-c2i-fragmenttc2-fragmentc2a7s-fragmentc2rets-fragmentrsa-public-key-fragmentport-key-referencestor-c2