Manuel Statik Analiz (LLM Okumali) — ResolverRAT (Donut Decoded) | Tehdit: YUKSEK

Dosya Kimligi

SHA25687053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
Dosya Adidonut_decrypted_netexe.bin
FormatDonut shellcode ile sarmalanmis .NET PE
Boyut605.184 byte
String Sayisi3.359

Obfuske String Anahtarlari

LuLZUIuxdUHc2aJ3gr     -- RC4/AES obfuske anahtar benzeri
Ehs6p1nwKvc2VUcNBI0    -- RC4/AES obfuske anahtar benzeri
o4unxurZc2gToNadJSp    -- C2 string'i iceriyor
<Module>{1F4B02DF-696E-486A-8B35-F56CCA1C23C6}  -- .NET GUID

Donut Shellcode Nedir?

Donut, .NET, COM ve VBScript gibi payload'lari bellekte calistirmak icin kullanilan acik kaynakli bir framework'tur. Disk uzerine yazilmadan bellekte yukleme yapar (fileless execution). Tespit edilmemeyi kolaylastirir.

ResolverRAT Hakkinda

ResolverRAT, 2021 yilinda saglik ve eczacilik sektorunu hedefleyen .NET tabanli bir RAT ailesidir. DLL side-loading, HTTPS C2, bellek icinde payload calistirma ve Runtime C# derleyicisi kullanimiyla dikkat ceker. HIPAAYAA ve GDPR kaygili saglik verisi calabilmektedir.

IOC

SHA25687053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
PakeleyiciDonut shellcode
Platform.NET + RC4 obfuske

ResolverRAT — Malware Profile

ResolverRAT, 2021 yilinda saglik ve eczacilik sektorunu hedefleyen .NET tabanli bir RAT ailesidir. DLL side-loading, HTTPS C2, bellek icinde calistirma (fileless) ve Donut shellcode ile dagitim kullanir.

Malware Type
RAT
Programming Language
.NET/C#
C2 Protocol
HTTPS
Target Systems
Saglik/Eczacilik Sektoru

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — ResolverRAT
# SHA256 87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
TypeValueNote
sha256 87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5
Tags
resolverratdonutshellcodenetobfuskerc4healthcare