Manuel Statik Analiz — HoudiniRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 952e92df20c27b35230104b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | IDC202001281QA REF DCF TRANSFER.js (BEC: iş transferi belgesi!) |
| Boyut | 230.104 byte (230KB) |
| String Sayisi | 1 (ağır obfuscation!) |
BEC Lürü: DCF Transfer Belgesi
BEC HEDEFİ: İş E-posta Dolandırıcılığı (Business Email Compromise)!
IDC202001281QA REF DCF TRANSFER.js -- IDC = Şirket kodu/müşteri referansı -- "202001281QA" = tarih formatı benzeri numara (güvenilirlik için) -- "REF DCF" = DCF = Discounted Cash Flow (indirimli nakit akışı) -- "TRANSFER" = para transferi işlemi gibi görünüyor -- Hedef: Muhasebe departmanları, finans yöneticileri -- Yöntem: "Transfer belgesi" olarak sunulan JS zararlısı
_0x21af Obfuscation Array
JS OBFUSCATİON: _0x hex-naming gizleme tekniği!
var _0x21af = ['ScriptFullName','give-me-ffpv','Type','bin.base64','rundll','country', ...] -- "_0x21af" = hex isimli obfuscated array (Obfuscator.io tarzı) -- Tüm string sabitleri array'e taşınmış: _0x21af[0], _0x21af[1]... -- Reverse engineering'i zorlaştırır — string'e bakıp anlayamazsın -- Sadece 1 readable string bulundu: ağır obfuscation kanıtı
Tespit Edilen String'ler
'ScriptFullName' -- WScript.ScriptFullName: JS kendini okur (polimorfizm) 'give-me-ffpv' -- Benzersiz C2 komutu/token! "ffpv" = muhtemelen kısaltma 'Type' -- ADODB.Stream.Type = binary/text mod 'bin.base64' -- ADODB.Stream format: base64 encoded binary 'rundll' -- rundll32.exe ile DLL çalıştırma 'country' -- Ülke bazlı hedefleme/filtreleme
Loader Zinciri
1. IDC DCF TRANSFER.js açılır (WScript ile) 2. WScript.ScriptFullName → kendi yolunu öğrenir 3. ADODB.Stream ile base64 binary decode 4. bin.base64 = base64-encoded EXE/DLL payload 5. rundll32.exe → DLL payload'ı bellekte çalıştırır 6. C2: 'give-me-ffpv' komutu gönderir 7. 'country' → coğrafi filtreleme (sadece hedef ülkede aktif)
IOC
| SHA256 | 952e92df20c27b35230104b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | IDC202001281QA REF DCF TRANSFER.js (BEC finans) |
| Benzersiz String | give-me-ffpv (C2 komutu) |
HoudiniRAT — Malware Profile
HoudiniRAT H-Worm VBScript/JS tabanli RAT. 2014 yilindan beri aktif. BEC lürleriyle dağıtıyor. _0x hex obfuscation. give-me-ffpv C2 komutu. ADODB.Stream bin.base64 loader.
Malware Type
Backdoor
Programming Language
VBScript/JavaScript
C2 Protocol
HTTP
Target Systems
Küresel/Orta Doğu
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — HoudiniRAT
# DOMAIN
obfuscator.io
| Type | Value | Note |
|---|---|---|
| domain | obfuscator.io |