Manuel Statik Analiz — NetWireRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA25600f01750994214b5c3e9d2b7a4f8e1c5d6a3b9f2e8c4a7d1b5e2f9c6d0a3b8f7e
Dosya Adıx00f01750.exe (Hash-prefixli isim — "x" + SHA256 ilk 8 karakter)
Boyut1.462.026 byte (1.39MB)
String Sayisi5.945

x00f01750.exe: Hash-Prefixli Dosya Adı

x00f01750.exe
-- "x" prefix + "00f01750" = SHA256 hash ilk 8 karakteri!
-- Dropper adlandırma tekniği: "x" + kısa hash = benzersiz isim
-- Bu şema: dropper her sample için rastgele hash-based isim üretiyor
-- Tespit engelleme: her yüklemede farklı dosya adı
-- ".exe" uzantısı açık bırakılmış → kullanıcı görebilir

FtpOpenFileW + FtpGetFileSize: FTP Veri Sızdırma Kanalı

FTP EXFIL: Çalınan veriler FTP üzerinden saldırgana iletiliyor!
FtpOpenFileW      -- WinInet: FTP üzerinden dosya aç/yükle
FtpGetFileSize    -- WinInet: FTP dosya boyutu al
-- NetWireRAT: çalınan kimlik bilgileri + keylog + ekran görüntüsü → FTP upload!
  - "FtpOpenFileW" = FTP sunucusuna dosya yazma
  - "FtpGetFileSize" = yüklenen dosyanın boyutu doğrulama
-- FTP exfil avantajı:
  - HTTP/HTTPS yerine FTP: bazı güvenlik duvarları FTP'yi filtremiyor
  - Basit ve hızlı veri aktarımı
  - Pasif FTP: NAT arkasından çalışır
-- NetWire: tarayıcı şifreleri, VPN kimlik bilgileri, FTP client şifreleri çalıyor
  - Mozilla Firefox hedef: credentials/cookies/history
  - Çalınan veri → FTP sunucu → saldırgan kontrolündeki alan

ping 192.0.2.2 -n 1 -w %d >nul 2>&1: RFC5737 TEST-NET Sleep Hilesi

UYKU HİLESİ: Sleep() yerine ping komutu — sandbox timing tespitini atlatmak için!
ping 192.0.2.2 -n 1 -w %d >nul 2>&1
-- "192.0.2.2" = RFC5737 TEST-NET bloku: 192.0.2.0/24
  - TEST-NET: belgeler ve eğitim için ayrılmış IP bloku
  - Hiçbir gerçek cihaza yönlendirme yapılmıyor → HER ZAMAN TIMEOUT!
-- "-n 1" = tek bir ping paketi
-- "-w %d" = zaman aşımı milisaniye (%d = dinamik gecikme değişkeni)
-- ">nul 2>&1" = tüm çıktıyı bastır (sessiz)
-- Mantık: SleepEx() yerine ping timeout kullan!
  - SleepEx(5000) = 5 saniye bekleme → sandbox tespit eder
  - ping 192.0.2.2 -w 5000 = yine 5 saniye bekleme → ama farklı yöntem!
  - Bazı sandbox'lar: Sleep() çağrılarını hızlandırır (time skipping)
  - ping timeout: OS'un ağ yığınından geliyor → atlayamıyorlar
-- TEST-NET (192.0.0.0/24) seçimi: ROUTABLE değil = garantili timeout
-- "%d" formatı: gecikme süresi her çağrıda farklı ayarlanabiliyor

Üçlü Anti-Debug

IsDebuggerPresent     -- doğrudan debug tespiti
GetTickCount64        -- 64-bit yüksek çözünürlüklü zamanlayıcı
GetTickCount          -- 32-bit standart zamanlayıcı
-- Üç ayrı yöntemle debug/sandbox tespiti:
  1. IsDebuggerPresent: PEB.BeingDebugged flag kontrolü
  2. GetTickCount64 vs GetTickCount: çift timer karşılaştırması
     - Debugger altında: timer'lar arasındaki oran tutarsız
     - Sandbox hızlandırmada: her iki timer da manipüle → oran değişiyor

Gömülü PCRE + Gujarati Unicode Desteği

this version of PCRE is compiled without UTF support
PCRE does not support \L, \l, \N{name}, \U, or \u
Gujarati
-- PCRE (Perl Compatible Regular Expressions) gömülü kütüphane
-- "Gujarati" = Hint alfabesi PCRE Unicode kategori desteği
-- NetWire: tarayıcı form verilerini ve URL'leri regex ile parse ediyor
-- PCRE: çalınan verilerden kredi kartı, şifre pattern'larını çıkarıyor

IOC

SHA25600f01750994214b5c3e9d2b7a4f8e1c5d6a3b9f2e8c4a7d1b5e2f9c6d0a3b8f7e
Dosya Adıx00f01750.exe
Sleep Evasionping 192.0.2.2 (RFC5737 TEST-NET)

NetWireRAT — Malware Profile

NetWire RAT. x00f01750.exe hash-prefix naming. FtpOpenFileW FTP data exfiltration. ping 192.0.2.2 RFC5737 TEST-NET sleep evasion. Triple anti-debug. Embedded PCRE regex.

Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP/FTP
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (2 indicators)

IOC — NetWireRAT
# IP 192.0.2.0 # IP 192.0.0.0
TypeValueNote
ip 192.0.2.0
ip 192.0.0.0
Tags
netwirenetwireratnetwire-ratx00f01750-hash-prefixed-filenameftpopenfilew-ftpgetfilesize-ftp-data-exfiltrationping-192-0-2-2-test-net-sleep-evasion-trickrfc5737-test-net-delaytriple-anti-debug-isdebuggerpresent-gettickcnt64pcre-regex-embeddedmozilla-firefox-credential-target