Manuel Statik Analiz — WshRAT | Tehdit: ORTA

Dosya Kimliği

SHA2563df4108529c93e8f2b1dcba6f72af5c89e341fc2a7a6985db42c96e803f4c1d8
Dosya AdıTTCOPYREF251088.vbs (Takip Referanslı VBS Teslimat!)
Boyut1.828.708 byte (1.74MB)
String Sayisi213 (yüksek obfuskasyon)

TTCOPYREF251088.vbs: Takip Numaralı VBS Teslimat

TTCOPYREF251088.vbs
-- "TT" = Freight/kargo prefix (DHL TT numarası formatı!)
-- "COPYREF" = Copy Reference (belge referans kopyası)
-- "251088" = referans numarası (tarih formatı: 25/10/88?)
-- ".vbs" = VBScript (Windows Script Host tarafından çalıştırılır)
-- Teslimat senaryosu: kargo/kurye takip referanslı e-posta eki
  - "Gönderi bilgilerinizi görmek için eki açın"
  - Windows: .vbs dosyaları çift tıkla doğrudan çalışır
-- 1.74MB VBS: payload inline base64/string obfuskasyon içeriyor

jcYlyhzds...QqoK: Aşırı Uzun Rastgele Değişken Adı Obfuskasyonu

OBFUSKASyon TEKNİĞİ: Değişken adları analizi zorlaştırıyor!
jcYlyhzdsjCoseSkpwVLhJnPZKnbEqdkMseQQqoK = jcYlyhzdsjCoseSkpwVLhJnPZKnbEqdkMseQQqoK & ...
-- 40+ karakter rastgele büyük/küçük harf değişken adı
-- VBScript obfuskasyon: AV regex pattern'larını atlatmak için
  - "jcYlyhzdsjCoseSkpwVLhJnPZKnbEqdkMseQQqoK" = string buffer
  - " = değişken & " = string birleştirme (VBS string join)
-- Teknik: payload yüzlerce parçaya bölünmüş, runtime'da birleşiyor
-- Analiz zorluğu: 213 string → gerçek payload tek değişkende birleşiyor
-- WshRAT: "Windows Scripting Host RAT"
  - VBS/JS/WSF dosyaları aracılığıyla dağıtım
  - WScript.Shell üzerinden komuta bağlanma
  - Keylogger, screenshot, download/upload yetenekleri

IOC

SHA2563df4108529c93e8f2b1dcba6f72af5c89e341fc2a7a6985db42c96e803f4c1d8
LureTTCOPYREF251088.vbs

WshRAT — Malware Profile

WshRAT Windows Scripting Host RAT. TTCOPYREF VBS cargo tracking delivery. Long random variable obfuscation. String concatenation payload reconstruction.

Malware Type
RAT
Programming Language
VBScript
C2 Protocol
TCP/HTTP
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — WshRAT
# SHA256 3df4108529c93e8f2b1dcba6f72af5c89e341fc2a7a6985db42c96e803f4c1d8
TypeValueNote
sha256 3df4108529c93e8f2b1dcba6f72af5c89e341fc2a7a6985db42c96e803f4c1d8
Tags
wshratwsh-ratttcopyref251088-vbs-tracking-number-deliverylong-random-variable-name-obfuscation-jcylyhzdsvbs-string-concatenation-payload-reconstructionvbscript-deliverywscript-host-rat