Derin PE Analizi — SnakeDeveloperRAT (.NET) | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e |
|---|---|
| Dosya Adı | PO.exe (Purchase Order — satın alma emri iş e-postası lürü) |
| Boyut | 968 KB (.NET PE32, .NET 4.x) |
PO.exe: İş Dünyası E-Postası Lürü
PO.exe -- "PO" = Purchase Order (Satın Alma Emri) -- Kurumsal hedef: tedarik zinciri, satın alma departmanları -- Senaryo: "PO.exe — Mayıs 2026 Sipariş Onayı.exe" gibi ekte gönderilir -- Hedef profil: şirket muhasebe/tedarik çalışanları → daha az teknik farkındalık -- Alternatif: "PO.pdf.exe" çift uzantısıyla gönderilebilir
snakedeveloper@gmail.com + IsmAvatar@gmail.com: Çift Geliştirici E-Postası
ATRİBÜSYON: İki geliştirici e-posta adresi RAT binary içinde gömülü!
snakedeveloper@gmail.com IsmAvatar@gmail.com -- Her iki adres birlikte görünüyor → aynı .NET framework/bileşenden geliyorlar -- "snakedeveloper": geliştiricinin tercih ettiği takma ad (LoL/gaming community'de yaygın) -- "IsmAvatar": belgelenmiş geliştirici; LightStrike ve diğer açık kaynak .NET araçları -- Bu çift kombinasyon: açık kaynak .NET bileşeninin bu RAT içine gömülmesi - Muhtemelen: bir obfuscation veya compression kütüphanesi - Kütüphanenin lisans bloğunda e-posta adresleri sabit - Kötü amaçlı yazılıma dolaylı atıf sağlıyor -- "snakedeveloper" takma adı siber tehdit araştırması için izlenebilir hedef
HotkeyScreenshot: Hotkey Tetiklemeli Ekran Görüntüsü Sistemi
HotkeyScreenshot (x2 kez görünüyor) -- "HotkeyScreenshot" = tuş kombinasyonu ile ekran görüntüsü al -- İki görünüm: hem fonksiyon ismi hem de olay yöneticisi (event handler) -- Hotkey dinleme: SetWindowsHookEx(WH_KEYBOARD) veya RegisterHotKey() ile tuş izleme -- Kullanım senaryoları: 1. Kurban PrtScn tuşuna bastığında → otomatik C2'ye yükle 2. Belirli tuş kombinasyonu (CTRL+SHIFT+S) → anlık ekran yakalama 3. Arka planda pasif ekran izleme: kurban özel pencereye odaklandığında tetikle -- Screenshot çerçevesi: Windows Forms gömülü → BitBlt veya Graphics.CopyFromScreen() -- Gönderim: ZLIB sıkıştırma → C2 sunucusuna HTTP POST
AllowPartiallyTrustedCallers: Kısmi Güven Sandbox Atlatma
[assembly: AllowPartiallyTrustedCallers] -- .NET güvenlik özelliği: tam güvenli (full-trust) assembly'in kısmi güvenli (partial-trust) ortamlardan çağrılabilmesine izin verir -- Normal: Internet Zone, sandboxed browser plugin = kısmi güven -- Bu attribute: RAT'ın sandboxed .NET ortamlarından (ClickOnce, XBAP) çağrılabilir olduğunu gösteriyor -- Potansiyel senaryo: Browser eklentisi veya ClickOnce dağıtımı üzerinden enfeksiyon
ZLIB.NET + Windows Forms: RAT Mimarisi
ZLIB.NET (zlib.net) -- veri sıkıştırma kütüphanesi (C2 trafik sıkıştırma) ovh.org -- OVH ağ bileşeni veya bağlantı testi referansı System.Windows.Forms -- GUI bileşenlerle gelen RAT (builder arayüzü?) ImageListStreamer -- liste ikonu gömülü → Windows Forms UI widget -- Windows Forms GUI: bu RAT muhtemelen hem istemci (victim tarafı) hem yönetici (builder) arayüzüne sahip .NET projesi -- ZLIB.NET: ekran görüntüsü verilerini HTTP POST öncesinde sıkıştırıyor
IOC
| SHA256 | 536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e |
|---|---|
| Geliştirici E-posta | snakedeveloper@gmail.com |
| Geliştirici E-posta 2 | IsmAvatar@gmail.com |
| Aile | SnakeDeveloperRAT |
SnakeDeveloperRAT — Malware Profile
PO.exe custom .NET RAT. snakedeveloper@gmail.com IsmAvatar@gmail.com developer attribution emails. HotkeyScreenshot hotkey-triggered screenshot capture. AllowPartiallyTrustedCallers sandbox attribute. ZLIB.NET compression.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
HTTP
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — SnakeDeveloperRAT
# SHA256
536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e
| Type | Value | Note |
|---|---|---|
| sha256 | 536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e |