Manuel Statik Analiz — NanoCore RAT | Tehdit: YUKSEK

Dosya Kimliği

SHA2564eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
Dosya Adıpk68.io.exe (C2 domain ismi!)
Boyut207.872 byte
String Sayisi2.145

C2 Domain Dosya Adında

Tespit: C2 domain adı dosya ismine gömülmüş: pk68.io

ConfuserEx .NET Obfuskasyonu

#=qY9NY2gigPsj8X4CYx0UCT2vGlqkgsq6GuC2fWqP3Voc=
#=qtussAh$DpHFmu7s
-- ConfuserEx obfüskülenmiş .NET sembol isimleri (#=q prefix)

PBKDF2 + Bitcoin

Rfc2898DeriveBytes  -- AES şifreleme için PBKDF2 anahtar türetme
1abw3Kju8nMffXDIbl5na4zXqclsRK  -- NanoCore BTC cüzdanı
1CbaXqZpxrHWaxR5CiRO2OiaCLfsbSk -- NanoCore BTC cüzdanı #2

IOC

SHA2564eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
C2pk68.io (dosya adında)
BTC1abw3Kju8nMffXDIbl5na4zXqclsRK

NanoCore2 — Malware Profile

NanoCore .NET RAT 2013. HP Jetstar scanner lure. Administrator PDB FqStwIZtCP. Plugin: keylogger webcam credential.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — NanoCore2
# SHA256 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
TypeValueNote
sha256 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
Tags
nanocoreratpk68ioconfuserex-obfuscationrfc2898pbkdf2btc-wallet