Derin PE Analizi — ScreenshotRAT (Report_Print.exe) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 23ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007 |
|---|---|
| Dosya Adı | Report_Print.exe (rapor yazdırma kurumsal lürü) |
| Tür | PE32+ console x86-64, TDM-GCC 4.8.1 derlenmiş, 20 sections |
| Entropi | 6.110558 (normal — sıkıştırılmamış) |
BitBlt + GetDesktopWindow: Ekran Görüntüsü Yakalama
EKRAN YAKALAMA: Kurban ekranı pasif olarak izleniyor!
BitBlt: %s GetDesktopWindow BitBlt -- "BitBlt: %s" = format string → BitBlt sonucu loglanan hata mesajı -- Ekran yakalama akışı: 1. GetDesktopWindow() → masaüstü window handle 2. GetDC(desktop) → device context 3. CreateCompatibleDC() → bellek DC oluştur 4. CreateCompatibleBitmap(W, H) → bitmap tamponu 5. BitBlt(memDC, 0,0,W,H, screenDC, 0,0, SRCCOPY) → piksel kopyala 6. JPEG/BMP encode → C2'ye gönder -- "BitBlt: %s" format string: hata ayıklama/loglama → dev build kanıtı -- Periyodik ekran yakalama: her X saniyede/dakikada screenshot al
SetThreadContext: Proses Enjeksiyonu
SetThreadContext -- Proses enjeksiyon tekniği: iş parçacığı bağlamını değiştirerek kod yönlendirme -- Akış: 1. CreateProcess(target, SUSPENDED) → askıya alınmış proses oluştur 2. VirtualAllocEx → hedef proseste bellek ayır 3. WriteProcessMemory → payload yaz 4. SetThreadContext → EIP/RIP = payload adresi 5. ResumeThread → proses çalışmaya devam eder → payload başlar -- Alternatif: GetThreadContext sonra SetThreadContext (Process Hollowing) -- Amaç: kötü amaçlı kodu güvenilir proses kimliğiyle çalıştır
dRc20#Y! + 4c2uq|RN: Hardcoded Kimlik/Anahtar Parçaları
dRc20#Y! -- 8 karakter: büyük + küçük harf + rakam + özel karakter -- Pattern: tipik güçlü şifre veya şifreleme anahtarı -- Olası kullanım: 1. C2 kimlik doğrulama şifresi (HTTP Basic Auth veya token) 2. XOR/AES anahtarı parçası 3. Mutex ismi (anti-reinfection kontrolü için) -- "Rc20" içinde "RC" → RC4 şifreleme referansı olabilir 4c2uq|RN -- 8 karakter, pipe (|) karakteri içeriyor -- Olası kullanım: 1. Bot ID veya campaign token 2. İkinci faktör/nonce 3. Ayrıştırıcı içeren config string: "4c2uq" + "|" + "RN" iki bölümde
h:/crossdev/: TDM-GCC 4.8.1 Geliştirici Yapı Yolu
h:/crossdev/src/mingw-w64-v3-svn/mingw-w64-crt/crt (×22) h:/crossdev/gccmaster/host-toolchain-tdm64/x86_64-w64-mingw32/include (×15) GCC: (tdm64-2) 4.8.1 (×44) GCC: (GNU) 4.8.1 (×33) GNU C 4.8.1 -m64 -mtune=generic -march=x86-64 -g -O2 -std=gnu99 (×24) -- "h:/" sürücüsü: geliştirici özel sürücü veya mapped drive -- "crossdev": derleyici araç seti için özel dizin adı -- TDM-GCC 4.8.1: 2013 tarihli MinGW-W64 derleyici seti (eski ama stabil) - Tercih edilme nedeni: AV imzaları yeni GCC'ye göre ayarlı → eski = az tespit - "tdm64-2" = TDM-GCC 64-bit, sürüm 2 -- "-g -O2" flags: debug sembolü + optimizasyon (hybrid build) -- Bu araç seti tercihi: threat actor'un geliştirme ortamı parmak izi
IOC
| SHA256 | 23ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007 |
|---|---|
| Hardcoded Kimlik | dRc20#Y! |
| Token Fragment | 4c2uq|RN |
| Build Yolu | h:/crossdev/ TDM-GCC 4.8.1 |
ScreenshotRAT — Malware Profile
ScreenshotRAT Report_Print.exe. BitBlt+GetDesktopWindow screen capture. SetThreadContext process injection. CryptAcquireContextA. dRc20#Y! hardcoded credential. h:/crossdev/ TDM-GCC 4.8.1 developer build path.
Malware Type
RAT
Programming Language
C (MinGW)
C2 Protocol
TCP/HTTP
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (2 indicators)
IOC — ScreenshotRAT
# SHA256
23ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007
# SHA256
23ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007
| Type | Value | Note |
|---|---|---|
| sha256 | 23ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007 | |
| sha256 | 23ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007 |