Manuel Statik Analiz — VenomRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA2566d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut1.510.400 byte (1.5MB)
String Sayisi9.345

URL Shortener C2 Maskeleme

https://www.golink.com/
-- GoLink = URL shortener/yönlendirme servisi
-- Gerçek C2 IP'si kısaltıcı arkasında gizlenir
-- GoLink değiştirilirse → yeni C2 yönlendirme (esneklik!)
-- Whitelist engellerini aşar: golink.com meşru görünür

Microsoft SmartScreen Bypass

SOFTWARE\Microsoft\PolicyManager\default\Browser\AllowSmartScreen
-- SmartScreen = indirilen dosyaları bulut tabanlı tarama
-- Bu registry key = MDM/GPO SmartScreen kontrolü
-- 0 değerine ayarlanırsa SmartScreen devre dışı kalır!
-- UAC/SmartScreen bypass → payload'ı uyarısız çalıştırır

IOC

SHA2566d25076b0cf8d4931510400b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
C2 Maskelemegolink.com (URL shortener)
BypassBrowser\AllowSmartScreen registry

VenomRAT — Malware Profile

VenomRAT .NET 2021 QuasarRAT fork. golink.com URL shortener C2. AllowSmartScreen bypass. HVNC+keylogger+stealer.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/SSL
Target Systems
Windows

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — VenomRAT
# DOMAIN golink.com
TypeValueNote
domain golink.com
Tags
venomratgolink-comurl-shortener-c2smartscreen-bypasspolicy-manager-registryallowsmartscreen