Manuel Statik Analiz — STRRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 9d907d9016f2fb80849496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Request For Quotation(RFQ).js (İş teklif tuzağı!) |
| Boyut | 849.496 byte (849KB JavaScript) |
| String Sayisi | 41 (yoğun XOR obfuskasyon) |
İş Tuzağı: Request For Quotation (RFQ)
BEC Tuzağı: Tedarikçi teklif talebi!
Request For Quotation(RFQ).js -- RFQ = "Request For Quotation" = Teklif Talebi -- İş süreçlerinde standart: tedarikçilere fiyat teklifi isteme belgesi -- Kurban açar → WScript ile JavaScript çalışır → STRRAT indirilir -- BEC (Business Email Compromise) vektörü -- Sadece 41 string: geri kalan veri XOR şifreli
XOR Hex Byte Array: Şifreli Payload
Şifreleme Tekniği:
var raw = ["7E", "84", "F9", "3F", "C3", "E0", "1F", "09", "D4", "C8", "BC", "88", "4... -- "raw" dizisi: XOR şifreli payload hex byte değerleri -- Her hex string bir byte → XOR key ile decode → STRRAT JAR/CAB payload -- STRRAT indirme mekanizması tamamen bu array içinde gizli -- 849KB JS = çoğu bu hex array -- Avantaj: imza tabanlı AV bypass (raw hex string, EXE değil)
getString Şifre Çözücü
String.prototype.getString = function(key){
for(var i=0; i<key.toString().length; i...
-- Native String.prototype'ı extend ediyor!
-- Her string için key parametresi ile XOR decode
-- JavaScript native metodunu modify etmek = AV tespitini zorlaştırıyor
-- key parametresi: STRRAT config için ayrı string
IOC
| SHA256 | 9d907d9016f2fb80849496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Request For Quotation(RFQ).js (BEC/iş tuzağı) |
| Şifreleme | XOR hex byte array + String.prototype.getString |
STRRAT2 — Malware Profile
STRRAT Java-based RAT. RFQ.js JS dropper XOR hex array getString decryptor. BEC kampanya. Credential theft keylogger.
Malware Type
RAT
Programming Language
JavaScript/Java
C2 Protocol
TCP/HTTP
Target Systems
Küresel/BEC
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — STRRAT2
# SHA256
9d907d9016f2fb80849496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 9d907d9016f2fb80849496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |