Genel Bakış
Bu örnek, Snake Keylogger'ı Celesty Binder ile paketlenmiş ve Telegram üzerinden C2 iletişimi kuran gelişmiş bir malware paketidir. İçerisinde birden fazla bileşen barındırmakta; şifre çalma, klavye kaydı ve Telegram bot üzerinden veri sızdırma yeteneklerine sahiptir.
Bileşen Analizi
Snake Keylogger
-------- Snake Keylogger --------dizesi 59 kez tekrarlanıyor (her bileşen kopyasında)| Snake Keyloggerdahili tanımlayıcısı- Klavye kaydı, şifre toplama, tarayıcı veri hırsızlığı
get_encryptedPassword→ şifreli parola çalma
Celesty Binder (DarkCoderSc)
- PDB yolu:
C:\Users\DarkCoderSc\Desktop\Celesty Binder\Stub\STATIC\Stub.pdb - DarkCoderSc — Celesty Binder'ın Fransız geliştirici yazarı
- Snake Keylogger bu binder ile paketlenip dağıtılmıştır
Ring3 CRAT x64 (Credential RAT)
- PDB yolu:
C:\Users\W7H64\source\repos\Ring3 CRAT x64\Ring3 CRAT x64\nope.pdb - Ring 3 (user-mode) kimlik bilgisi toplama aracı x64
Telegram C2 İletişimi
https://api.telegram.org/bot/sendMessage?chat_id=— metin mesaj gönderme/sendDocument?chat_id=— dosya (çalınan veri) gönderme- İlk IP:
http://checkip.dyndns.org/— kurbanın IP adresini öğrenme icoremail.net— e-posta sunucusu hedefi
Şifreleme
- BCrypt kullanımı:
BCRYPT_AUTHENTICATED_CIPHER_MODE_INFO - RSA:
BCRYPT_OAEP_PADDING_INFO,BCRYPT_PSS_PADDING_INFO - Çalınan veriler şifreli olarak Telegram'a gönderilmektedir
Ek Bulgular
- Drop dosyası:
YFGGCVyufgtwfyuTGFWTVFAUYVF.exe(rastgele isim) - RDP kötüye kullanımı:
[experimental] patch Terminal Server service to allow multiples users - Minesweeper GitHub bağlantısı (kamuflaj amaçlı gömülü)
Teknik Özellikler
| Özellik | Değer |
|---|---|
| Aileleri | Snake Keylogger + Celesty Binder + Ring3 CRAT x64 |
| Boyut | 515.584 bayt |
| C2 Protokolü | Telegram Bot API (HTTPS) |
| IP Tespiti | checkip.dyndns.org |
| Şifreleme | BCrypt AES + RSA OAEP |
IOC Özeti
- C2:
https://api.telegram.org/bot - IP Check:
http://checkip.dyndns.org/ - PDB:
C:\Users\DarkCoderSc\Desktop\Celesty Binder - PDB:
C:\Users\W7H64\source\repos\Ring3 CRAT x64 - SHA256:
62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec
Snake Keylogger — Malware Profile
Snake Keylogger (404 Keylogger olarak da bilinir), .NET ile gelistirilmis cok kanalli bir bilgi hirsizı ve keylogger. SMTP, FTP ve Telegram bot API araciligiyla ceyrilen verileri (sifre, ekran goruntüsü, pano icerik, tus kaydi) exfiltre eder.
Malware Type
Infostealer
Programming Language
.NET (C#)
C2 Protocol
SMTP/FTP/Telegram
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (4 indicators)
IOC — Snake Keylogger
# SHA256
62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec
# DOMAIN
api.telegram.org
# DOMAIN
checkip.dyndns.org
# DOMAIN
icoremail.net
| Type | Value | Note |
|---|---|---|
| sha256 | 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec | |
| domain | api.telegram.org | |
| domain | checkip.dyndns.org | |
| domain | icoremail.net |