Manuel Statik Analiz — NetWireRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 00f01750994214b5c3e9d2b7a4f8e1c5d6a3b9f2e8c4a7d1b5e2f9c6d0a3b8f7e |
|---|---|
| Dosya Adı | x00f01750.exe (Hash-prefixli isim — "x" + SHA256 ilk 8 karakter) |
| Boyut | 1.462.026 byte (1.39MB) |
| String Sayisi | 5.945 |
x00f01750.exe: Hash-Prefixli Dosya Adı
x00f01750.exe -- "x" prefix + "00f01750" = SHA256 hash ilk 8 karakteri! -- Dropper adlandırma tekniği: "x" + kısa hash = benzersiz isim -- Bu şema: dropper her sample için rastgele hash-based isim üretiyor -- Tespit engelleme: her yüklemede farklı dosya adı -- ".exe" uzantısı açık bırakılmış → kullanıcı görebilir
FtpOpenFileW + FtpGetFileSize: FTP Veri Sızdırma Kanalı
FTP EXFIL: Çalınan veriler FTP üzerinden saldırgana iletiliyor!
FtpOpenFileW -- WinInet: FTP üzerinden dosya aç/yükle FtpGetFileSize -- WinInet: FTP dosya boyutu al -- NetWireRAT: çalınan kimlik bilgileri + keylog + ekran görüntüsü → FTP upload! - "FtpOpenFileW" = FTP sunucusuna dosya yazma - "FtpGetFileSize" = yüklenen dosyanın boyutu doğrulama -- FTP exfil avantajı: - HTTP/HTTPS yerine FTP: bazı güvenlik duvarları FTP'yi filtremiyor - Basit ve hızlı veri aktarımı - Pasif FTP: NAT arkasından çalışır -- NetWire: tarayıcı şifreleri, VPN kimlik bilgileri, FTP client şifreleri çalıyor - Mozilla Firefox hedef: credentials/cookies/history - Çalınan veri → FTP sunucu → saldırgan kontrolündeki alan
ping 192.0.2.2 -n 1 -w %d >nul 2>&1: RFC5737 TEST-NET Sleep Hilesi
UYKU HİLESİ: Sleep() yerine ping komutu — sandbox timing tespitini atlatmak için!
ping 192.0.2.2 -n 1 -w %d >nul 2>&1 -- "192.0.2.2" = RFC5737 TEST-NET bloku: 192.0.2.0/24 - TEST-NET: belgeler ve eğitim için ayrılmış IP bloku - Hiçbir gerçek cihaza yönlendirme yapılmıyor → HER ZAMAN TIMEOUT! -- "-n 1" = tek bir ping paketi -- "-w %d" = zaman aşımı milisaniye (%d = dinamik gecikme değişkeni) -- ">nul 2>&1" = tüm çıktıyı bastır (sessiz) -- Mantık: SleepEx() yerine ping timeout kullan! - SleepEx(5000) = 5 saniye bekleme → sandbox tespit eder - ping 192.0.2.2 -w 5000 = yine 5 saniye bekleme → ama farklı yöntem! - Bazı sandbox'lar: Sleep() çağrılarını hızlandırır (time skipping) - ping timeout: OS'un ağ yığınından geliyor → atlayamıyorlar -- TEST-NET (192.0.0.0/24) seçimi: ROUTABLE değil = garantili timeout -- "%d" formatı: gecikme süresi her çağrıda farklı ayarlanabiliyor
Üçlü Anti-Debug
IsDebuggerPresent -- doğrudan debug tespiti
GetTickCount64 -- 64-bit yüksek çözünürlüklü zamanlayıcı
GetTickCount -- 32-bit standart zamanlayıcı
-- Üç ayrı yöntemle debug/sandbox tespiti:
1. IsDebuggerPresent: PEB.BeingDebugged flag kontrolü
2. GetTickCount64 vs GetTickCount: çift timer karşılaştırması
- Debugger altında: timer'lar arasındaki oran tutarsız
- Sandbox hızlandırmada: her iki timer da manipüle → oran değişiyor
Gömülü PCRE + Gujarati Unicode Desteği
this version of PCRE is compiled without UTF support
PCRE does not support \L, \l, \N{name}, \U, or \u
Gujarati
-- PCRE (Perl Compatible Regular Expressions) gömülü kütüphane
-- "Gujarati" = Hint alfabesi PCRE Unicode kategori desteği
-- NetWire: tarayıcı form verilerini ve URL'leri regex ile parse ediyor
-- PCRE: çalınan verilerden kredi kartı, şifre pattern'larını çıkarıyor
IOC
| SHA256 | 00f01750994214b5c3e9d2b7a4f8e1c5d6a3b9f2e8c4a7d1b5e2f9c6d0a3b8f7e |
|---|---|
| Dosya Adı | x00f01750.exe |
| Sleep Evasion | ping 192.0.2.2 (RFC5737 TEST-NET) |
NetWireRAT — Malware Profile
NetWire RAT. x00f01750.exe hash-prefix naming. FtpOpenFileW FTP data exfiltration. ping 192.0.2.2 RFC5737 TEST-NET sleep evasion. Triple anti-debug. Embedded PCRE regex.
Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/FTP
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (2 indicators)
IOC — NetWireRAT
# IP
192.0.2.0
# IP
192.0.0.0
| Type | Value | Note |
|---|---|---|
| ip | 192.0.2.0 | |
| ip | 192.0.0.0 |