Manuel Statik Analiz — Havoc C2 Framework Beacon | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Boyut | 1.143.296 byte (1.1MB beacon agent) |
| String Sayisi | 1.035 (yoğun obfuskasyon) |
Üçlü VM Tespiti
VM Tespiti: 3 platform birden kontrol ediliyor!
vboxguest -- VirtualBox guest agent driver (VirtualBox) vboxmouse -- VirtualBox mouse driver (VirtualBox) vmware -- VMware string (VMware Workstation/ESXi) -- VirtualBox iki ayrı driver ile: vboxguest (genel) + vboxmouse (spesifik) -- İkili VirtualBox kontrolü = daha kesin tespit -- VMware + VirtualBox birlikte: neredeyse tüm sandbox ortamları
Global GUID Mutex
Global\{7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d}
-- Global namespace = sistem genelinde tek instance
-- GUID format mutex: her Havoc beacon için benzersiz
-- "7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d" = bu kampanyanın beacon GUID'i
-- Global mutex ile çift çalışma önlemi
DLP Browser Bypass Modülü
Kurumsal DLP Bypass:
DlpCommunicationChannel -- Chrome/Edge DLP iletişim kanalı sorgulama DlpIsWebsitePolicyConfigured -- Web sitesi DLP politikası kontrol DlpTestConfig -- DLP test konfigürasyonu GetBrowserExtensio(n) -- Tarayıcı uzantıları listeleme -- DLP = Data Loss Prevention (Kurumsal veri sızıntısı koruması) -- Havoc kurumsal DLP sistemlerini sorguluyor: 1. DLP aktif mi? → şifreleme bypass yöntemine geç 2. Hangi web siteleri engelleniyor? → farklı C2 domain seç 3. Hangi uzantılar var? → DLP extension'ı bypass et -- HEDEF: Kurumsal ağlardaki DLP atlatma (finans/sağlık/kamu sektörü)
Havoc C2 Hakkında
Havoc 2022'de C/Go ile yazılmış açık kaynaklı post-exploitation C2 framework. Cobalt Strike ve Brute Ratel alternatifi. Şifreli HTTPS/TCP beacon, process injection, token manipulation, lateral movement. DFIR ekipleri için kayıp: meşru pentest aracı olduğundan tespiti zor.
IOC
| SHA256 | 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Mutex | Global\{7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d} |
HavocC2 — Malware Profile
Havoc C2 framework 2022. vboxguest vboxmouse vmware VM triple detect. Global GUID mutex. DLP browser bypass modülü.
Malware Type
C2Framework
Programming Language
C/C++
C2 Protocol
HTTPS
Target Systems
Windows/Linux
Capabilities & Behavior
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOC List (1 indicators)
IOC — HavocC2
# SHA256
95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |