Manuel Statik Analiz — NetWireRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA25600f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adıx00f01750.exe (hash-prefix isimlendirme)
Boyut1.462.026 byte (1.39MB)
String Sayisi5.945

45A06E61... 88-Karakter Hex: Şifreleme Anahtar Materyali

ANAHTAR: Hardcoded 88-karakter şifreleme anahtarı!
45A06E6143226FBBB6E5FC8555E1E90ED63F7AA091EA2456928510DBAD014B493B27CC52E4AD43EC628F4
-- 88 hexadecimal karakter = 44 byte
-- Standart uzunluklar değil: MD5=32, SHA1=40, SHA256=64
-- 44 byte = şifreleme anahtar materyali (olası: ChaCha20-Poly1305 key+nonce)
-- ChaCha20: 32-byte key + 12-byte nonce = 44 byte toplam!
-- NetWireRAT: C2 iletişiminde ChaCha20 akış şifrelemesi kullanıyor
-- Hardcoded: her binary'de aynı → imza olarak kullanılabilir

POSIX + PCRE: Gömülü Regex Motoru

POSIX named classes are supported only within a class
POSIX collating elements are not supported
-- Bu hatalar: PCRE (Perl Compatible Regular Expressions) kütüphanesinden
-- NetWireRAT: kimlik bilgisi çıkarmak için gömülü regex kullanıyor
-- "named classes" = [:alpha:] [:digit:] gibi karakter sınıfları
-- "collating elements" = [.x.] lokal-bağımlı karakter sıralaması
-- Regex: şifre/kart/IBAN pattern matching → credential stealing

IOC

SHA25600f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Anahtar45A06E6143...628F4 (88 hex, ChaCha20 key+nonce)

NetWire — Malware Profile

NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.

Malware Type
RAT
Programming Language
C
C2 Protocol
TCP
Target Systems
Windows/Linux/macOS

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — NetWire
# SHA256 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Tags
netwirenetwirerat45a06e61-88hex-key-materialposix-pcre-regex-enginegettickcountcomp64-tripleembedded-regexx00f01750-hash-prefix