Manuel Statik Analiz (LLM Okumali) — NanoCore RAT | Tehdit: KRITIK
Dosya Kimligi
| SHA256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
|---|---|
| Orijinal Ad | pk68.io.exe |
| Boyut | 207.872 byte |
| Dil | .NET Framework 2.0 |
Aile Teyit Stringleri
NanoCore Client — Istemci uygulama adi NanoCore Client.exe — Dahili dosya adi NanoCore — Ana urun adi NanoCore.ClientPlugin — Plugin sistemi namespace'i
Teslimat
pk68.io.exe adi, kullanicilari mecrua bir yazilim adi ile kandiran bir teslimat alaninin (pk68.io) adini tasimaktadir. Bu durum, NanoCore'un sahte yazilim indirme siteleri uzerinden dagitildigina isaret etmektedir.
NanoCore RAT Yetenekleri
| Modul/Plugin | Yetenek |
|---|---|
| ClientPlugin | Moduler plugin mimarisi — yeni ozellikler eklenebilir |
| Keylogger | Tus kaydi ve clipboard izleme |
| Remote Shell | Komut satiri erisimi |
| Stealer | Tarayici ve email sifre calma |
| Screen | Uzak masaustu (RDP benzeri) |
| Webcam | Kamera erisimi |
| DDoS | Dagitik servis engelleme (bazi sürümlerde) |
IOC
| SHA256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
|---|---|
| Dagitim Domaini | pk68.io |
| C2 | TCP — sifrelenmis (dinamik analiz gerekli) |
NanoCore — Malware Profile
NanoCore RAT .NET. HP scanner lures. FqStwIZtCP PDB path recurring. Plugin: GetConfig/SetConfig/conjugatePair.
Malware Type
RAT
Programming Language
.NET
C2 Protocol
TCP
Target Systems
Windows
Technical Details
.NET, plugin tabanli (DLL eklentiler), AES-128 sifreleme, port TCP dinamik, Mutex rastgele GUID, GetAsyncKeyState keylogger, Clipboard monitor, Remote Shell (cmd.exe), Hidden VNC, Password Recovery
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — NanoCore
# SHA256
4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5
| Type | Value | Note |
|---|---|---|
| sha256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
C2 Servers (4 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| pk68.io | domain | 443 | HTTPS | active | — |
| 195.3.221.139 | ip | 4782 | TCP | inactive | RO |
| UNKNOWN_HOST | unknown | 8918 | TCP | inactive | — |
| 37.140.192.146 | ip | 7707 | TCP | sinkholed | UA |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.