Manuel Statik Analiz (LLM Okumali) — VenomRAT | Tehdit: YUKSEK
Dosya Kimligi
| SHA256 | e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29 |
|---|---|
| Boyut | 75.776 byte (~74 KB) |
| Calisma Zamani | .NET Framework 4.0 (v4.0.30319) |
Analiz
Bu VenomRAT ornegi sikistirilmis formatta. Binary'de KeylogMutexString, MutexControl, CloseMutex, CreateMutex string'leri tespit edilmistir; bunlar VenomRAT'a has belirleyicilerdir. C2 endpoint'i runtime'da sifre cozulerek kullanilmaktadir.
C2 Altyapisi
C2 sifrelenmis (AES/XOR), statik analizde gorunur degildir. VenomRAT genellikle TCP C2 kullanir, port 4449 veya 3001 default portlari olarak bilinir.
Bilinen VenomRAT Yetenekleri
- Uzaktan komut yürütme
- Keylogger (
KeylogMutexStringbelirleyicisi) - Ekran goruntüsü
- Dosya yonetimi
- Tarayici sifre calma
- Process injection
- Ters baglanti (reverse connect) TCP
IOC
| SHA256 | e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29 |
|---|---|
| C2 | Sifrelenmis (TCP, dinamik analiz gerekli) |
VenomRAT — Malware Profile
VenomRAT .NET 2021 QuasarRAT fork. golink.com URL shortener C2. AllowSmartScreen bypass. HVNC+keylogger+stealer.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/SSL
Target Systems
Windows
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — VenomRAT
# SHA256
e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29
| Type | Value | Note |
|---|---|---|
| sha256 | e4ea373bf70b008d51db2d707171a01a40c45e7e01d2ed66eca0d8c1c9d43b29 |