Manuel Statik Analiz — SilenceRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | c3b3640ddf53b26f756208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Boyut | 756.208 byte (738KB, DLL formatı) |
| String Sayisi | 8.445 |
SSL_CTX_config: OpenSSL TLS C2 Kanalı
TLS C2: OpenSSL ile şifreli C2 iletişimi!
SSL_CTX_config (OpenSSL API) -- SSL_CTX = OpenSSL SSL bağlam yapısı -- "_config" = OpenSSL konfigürasyon alt sistemi -- SilenceRAT: standart HTTPS yerine doğrudan OpenSSL TLS kullanıyor -- Neden? TLS parmak izi → tam kontrol (özel cipher suite seçimi) -- AV/sandbox: meşru HTTPS trafiği gibi görünür -- Silence APT: Rusya bağlantılı finans kuruluşu saldırıları
Beş C2 Substring
C21kyy{ -- büyük C2 + 1kyy + süslü parantez
b654c2 -- b654 + c2
:4c26 -- iki nokta + 4c26
(c2!% -- parantez + c2 + !%
MCC2UQ@+*ik -- MC + büyük C2 + UQ + özel karakterler
portuguese-brazilian: Brezilya Portekizcesi Locale
portuguese-brazilian -- Locale string: pt-BR (Brezilya Portekizcesi) -- Olası açıklamalar: -- 1) SilenceRAT Brezilya'yı da hedef alıyor -- 2) OpenSSL/kütüphane içinde locale string (FP olabilir) -- 3) Geliştirici veya C2 altyapısı Brezilya'dan -- Silence APT: genellikle Rusya/CIS bankalarını hedef alır — Brezilya ilgi çekici
IOC
| SHA256 | c3b3640ddf53b26f756208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Protokol | OpenSSL TLS (SSL_CTX_config) |
SilenceRAT — Malware Profile
SilenceRAT Silence APT Rusya bağlantılı. SSL_CTX_config OpenSSL TLS C2. Finans kuruluşları hedef.
Malware Type
RAT
Programming Language
C++
C2 Protocol
OpenSSL TLS
Target Systems
Rusya/CIS
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — SilenceRAT
# SHA256
c3b3640ddf53b26f756208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | c3b3640ddf53b26f756208b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |