Manuel Statik Analiz — Brute Ratel C4 | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dosya Adı | steam_monitor_02F90000.dll (Steam izleyici DLL taklidi!) |
| Boyut | 696.320 byte (680KB) |
| String Sayisi | 1.569 |
steam_monitor_02F90000.dll: Steam Süreç Enjeksiyonu
DLL ENJEKSIYON: Steam sürecine gizli enjeksiyon!
steam_monitor_02F90000.dll -- "steam_monitor" = Steam (Valve oyun platformu) izleme DLL'i taklidi -- "02F90000" = bellek adresi (DLL yükleme taban adresi: 0x02F90000) -- Teknik: BruteRatel DLL steam.exe sürecine enjekte edilir -- Adres sonek: hangi bellek konumuna enjekte edildiği kayıt altında -- Steam: meşru süreç → güvenlik yazılımı genellikle izlemez! -- Brute Ratel C4: Cobalt Strike rakibi, ring-3 implant
TJC20MG Belirteci
TJC20MG -- 7 karakter alfanumerik kısa string -- BruteRatel C4: session/agent kimlik belirteci -- Operatör, bu ID ile hangi agent'ın hangi sistemde olduğunu takip eder -- Değişken: her campaign/build için farklı olabilir
RegCreateKeyExW: Registry Kalıcılığı
RegCreateKeyExW -- Unicode registry anahtar oluşturma RegCloseKey -- anahtar kapatma -- BruteRatel: registry Run key'e kendini ekleyerek kalıcı hale geliyor -- HKCU\Software\Microsoft\Windows\CurrentVersion\Run (olası)
IOC
| SHA256 | c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| DLL | steam_monitor_02F90000.dll |
| Belirteç | TJC20MG |
BruteRatel — Malware Profile
Brute Ratel C4 red team C2. steam_monitor DLL injection. TJC20MG session token. Registry persistence.
Malware Type
C2Framework
Programming Language
C
C2 Protocol
HTTPS
Target Systems
Windows
Also Known As (AKA)
BRC4
Capabilities & Behavior
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOC List (1 indicators)
IOC — BruteRatel
# SHA256
c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |