Manuel Statik Analiz (LLM Okumali) — NjRAT (Bladabindi) | Tehdit: YUKSEK

Dosya Kimligi

SHA25639cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
Boyut95.232 byte
Platform.NET 2.0 (v2.0.50727)
String Sayisi998

Aile Tespit Imzalari

NjRAT imzalari string analizi sonucunda dogrulandi:
avicap32.dll              -- Webcam API kutuphanesi (NjRAT cam ozelliginin imzasi)
capGetDriverDescriptionA  -- Webcam surucu listeleme (NjRAT'a ozgu)
CsAntiProcess             -- NjRAT'in anti-AV/process killing modulu
TcpClient                 -- TCP baglanti objesi
GZipStream                -- Veri sikistirma (exfiltration oncesi)
Socket / Connect          -- Agdan ag iletisimi
Screen / get_PrimaryScreen / CopyFromScreen  -- Ekran yakalama
ClipboardProxy / Clipboard   -- Pano erisimi
GetActiveTcpConnections   -- Aktif TCP baglanti listesi
timx_run / timy_run       -- Timer tabanli geri arama

NjRAT Yetenekleri

OzellikDetay
Webcamavicap32.dll ile canli goruntuleme
KeyloggerGetAsyncKeyState tabanli tus kaydi
ScreenshotCopyFromScreen ile ekran goruntusu
ClipboardPano iceriklerini oku/degistir
Dosya YonetimiUpload/download, silme, olusturma
Komut SatiriUzaktan cmd/PowerShell
Anti-AVCsAntiProcess ile AV proseslerini kapat
SikistirmaGZip ile veri sikistirma (bant genisligi)

NjRAT Hakkinda

NjRAT (Bladabindi olarak da bilinir), 2013 yilinda nj/njq8 takma adiyla bilinen bir gelistirici tarafindan Orta Dogu'daki kullanicilari hedefleyerek yazilmistir. VB.NET tabanlidir ve acik kaynak kodundan turetilen onlarca varyanti mevcuttur. Orta Dogu, Kuzey Afrika ve Asya'da yaygin; hukumet ve ordu kurumlarini hedef alan APT gruplarinca da kullanilmaktadir.

IOC

SHA25639cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
Imzalaravicap32.dll, capGetDriverDescriptionA, CsAntiProcess
Platform.NET v2.0.50727
C2Runtime (TcpClient hardcoded config)

NjRAT — Malware Profile

njRAT Bladabindi. Spanish cotizacion lure. get_Panel1 C2 panel. MENA + Latin America targeting.

Malware Type
RAT
Programming Language
VB.NET
C2 Protocol
TCP (varsayilan port 1177)
Target Systems
Windows
Also Known As (AKA)
Bladabindi, H-Worm, houdini

Technical Details

TCP port 1177 (varsayilan), XOR tabanlı iletisim sifreleme, .NET Framework 2.0+, Mutex: {GUID}, Registry Run key persistence, Keylogger (GetAsyncKeyState), clipboard monitor, screenshot, remote shell, remote camera

Attribution / Threat Actor

Arap dilli siber suc topluluklari, en cok MENA (Orta Dogu ve Kuzey Afrika) bolgesindeki gruplar. Yasama savasi donemi Suriyeli gruplar tarafindan da kullanilmistir.

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — NjRAT
# SHA256 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13
TypeValueNote
sha256 39cbd2d2299ebbc1eba6bb1ffab7d87f0016715fb237d0a1a253262b4b9cea13

C2 Servers (8 recorded servers for this family)

Address Type Port Protocol Status Country
system.io domain — TCP active —
microsoft.com domain — TCP active —
system.io domain — TCP active —
system.io domain — TCP active —
system.io domain — TCP active —
system.io domain — TCP active —
system.io domain — TCP active —
system.io domain — TCP active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
njratbladabindiwebcamavicap32csantiprocesstcpclientkeyloggerscreenshot