Manuel Statik Analiz — NetSupportRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | fa33f0af6511c3e02247435b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | NS2H.zip → PCICL32.DLL (3.5MB) |
| Boyut | 2.247.435 byte (2.1MB zip) |
| String Sayisi | 14.675 |
PCICL32.DLL: NetSupport Bileşeni
MEŞRU ARAÇ KÖTÜYE KULLANIM:
PCICL32.DLL -- NetSupport Manager'ın asıl client DLL'i NS2H.zip içinde -- tam NetSupport paketi as RAT NetSupportRAT = yetkisiz NetSupport Manager kurulumu AV: meşru remote desktop yazılımı → imza tespiti zor
geo.netsupportsoftware.com/location/loca.asp
COĞRAFI KONUM: Kurban lokasyonu tespiti!
http://geo.netsupportsoftware.com/location/loca.asp -- NetSupport'un resmi coğrafi konum servisi -- "loca.asp" = ASP endpoint, kurbanın IP'sinden ülke/şehir bilgisi -- Saldırgan: kurbanın hangi ülkede olduğunu öğreniyor -- Farklı kurban grubuna farklı payload servisi için coğrafi filtreleme
EV_CONFIGSET: Olay Tabanlı C2 Protokolü
C2 PROTOKOL:
Send EV_CONFIGSET from %s@%d -- "EV_CONFIGSET" = konfigürasyon güncelleme olayı (event) -- "%s@%d" = kaynak format: hostname@port -- NetSupport olayı → C2 komut/kontrol protokolü -- Saldırgan: EV_CONFIGSET ile kurban agent'ı yeniden yapılandırıyor
Ses Akışı
Adjusting inexact audio conversion from %d to %d (%d b/s) -- NetSupport: kurban mikrofonunu uzaktan dinleyebilir -- Ses örnekleme hızı ayarlama log mesajı -- Hedefli saldırılarda kurumsal toplantıları dinleme kapasitesi
IOC
| SHA256 | fa33f0af6511c3e02247435b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Konum | geo.netsupportsoftware.com/location/loca.asp |
NetSupportRAT — Malware Profile
NetSupportRAT NetSupport Manager abuse. Legitimate remote management tool used maliciously. CurrentVersion\Run persistence.
Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/HTTP
Target Systems
Kurumsal
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — NetSupportRAT
# SHA256
fa33f0af6511c3e02247435b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | fa33f0af6511c3e02247435b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |