Manuel Statik Analiz (LLM Okumali) — NetWireRAT | Tehdit: YUKSEK

Dosya Kimligi

SHA256e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
Orijinal AdHost.exe
Boyut64.512 byte

C2 Altyapisi — HTTP CONNECT Tunel

Binary icerisinde HTTP CONNECT protokolu ile C2 tünelleme kodu bulunmaktadir. NetWireRAT bu yöntemi kurumsal proxy'leri asmak icin kullanmaktadir.
FCONNECT %s:%d HTTP/1.0       <-- HTTP CONNECT format stringi
Host: %s                       <-- HTTP Host header
Connection: close

Hedeflenen Kimlik Bilgileri

HedefIndicator
Pidgin IM.purple\accounts.xml
POP3 EmailPOP3 Password
IMAP EmailIMAP Password
HTTP KimlikHTTP Password
SMTP KimlikSMTP Password

Bilinen NetWire Yetenekleri

  • Uzaktan kabuk (remote shell)
  • Keylogger
  • Email istemcisi sifre calma
  • Pidgin/IM sifre calma
  • Dosya yonetimi
  • Registry islemleri
  • HTTP CONNECT ile proxy atlama

IOC

SHA256e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
DosyaHost.exe
C2 ProtokolHTTP CONNECT tunel
C2Sifrelenmis config (dinamik analiz gerekli)

NetWire — Malware Profile

NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.

Malware Type
RAT
Programming Language
C
C2 Protocol
TCP
Target Systems
Windows/Linux/macOS

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — NetWire
# SHA256 e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
TypeValueNote
sha256 e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
Tags
netwirerathttp-connect-tunnelc2pidginemail-stealercredential-theft