Manuel Statik Analiz — NetSupportRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA256fa33f0af6511c3e02247435b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıNS2H.zip → PCICL32.DLL (3.5MB)
Boyut2.247.435 byte (2.1MB zip)
String Sayisi14.675

PCICL32.DLL: NetSupport Bileşeni

MEŞRU ARAÇ KÖTÜYE KULLANIM:
PCICL32.DLL -- NetSupport Manager'ın asıl client DLL'i
NS2H.zip içinde -- tam NetSupport paketi as RAT
NetSupportRAT = yetkisiz NetSupport Manager kurulumu
AV: meşru remote desktop yazılımı → imza tespiti zor

geo.netsupportsoftware.com/location/loca.asp

COĞRAFI KONUM: Kurban lokasyonu tespiti!
http://geo.netsupportsoftware.com/location/loca.asp
-- NetSupport'un resmi coğrafi konum servisi
-- "loca.asp" = ASP endpoint, kurbanın IP'sinden ülke/şehir bilgisi
-- Saldırgan: kurbanın hangi ülkede olduğunu öğreniyor
-- Farklı kurban grubuna farklı payload servisi için coğrafi filtreleme

EV_CONFIGSET: Olay Tabanlı C2 Protokolü

C2 PROTOKOL:
Send EV_CONFIGSET from %s@%d
-- "EV_CONFIGSET" = konfigürasyon güncelleme olayı (event)
-- "%s@%d" = kaynak format: hostname@port
-- NetSupport olayı → C2 komut/kontrol protokolü
-- Saldırgan: EV_CONFIGSET ile kurban agent'ı yeniden yapılandırıyor

Ses Akışı

Adjusting inexact audio conversion from %d to %d (%d b/s)
-- NetSupport: kurban mikrofonunu uzaktan dinleyebilir
-- Ses örnekleme hızı ayarlama log mesajı
-- Hedefli saldırılarda kurumsal toplantıları dinleme kapasitesi

IOC

SHA256fa33f0af6511c3e02247435b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Konumgeo.netsupportsoftware.com/location/loca.asp

NetSupportRAT — Malware Profile

NetSupportRAT NetSupport Manager abuse. Legitimate remote management tool used maliciously. CurrentVersion\Run persistence.

Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/HTTP
Target Systems
Kurumsal

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — NetSupportRAT
# SHA256 fa33f0af6511c3e02247435b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 fa33f0af6511c3e02247435b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
netsupportratgeo-netsupportsoftware-com-locationloca-aspev-configset-event-protocolpcicl32-dllaudio-streaming-spynetsupport-manager-abuse