Manuel Statik Analiz — XtremeRAT | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Backdoor.Win32.Androm.jxcj-7c4fe9b2 (AV imzası ile adlandırılmış) |
| Boyut | 384.000 byte (384KB) |
| String Sayisi | 2.192 |
UnitServerConfigs: XtremeRAT Config Birimi
UnitServerConfigs 2UnitServerConfigs -- XtremeRAT Delphi kaynak kodu biriminin adı! -- "UnitServerConfigs" = XtremeRAT builder'da sunucu konfigürasyon birimi -- Host/port/şifre config'i bu Delphi Unit içinde tutuluyor -- "2UnitServerConfigs" = ikinci config birimi (yedek C2?)
C2 Substring + Mutex
5 c23 -- Tab karakteri ile ayrılmış c2 fragment
;{C2I -- C2I = "C2 Identifier"?
CreateMutexW -- Mutex oluşturma (eşzamanlılık kontrolü)
GetVersionExW -- Windows versiyon kontrolü (XP/Vista/7/10 uyumluluk)
IOC
| SHA256 | 7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Config | UnitServerConfigs (Delphi kaynak birimi) |
XtremeRAT — Malware Profile
XtremeRAT Delphi RAT. UnitServerConfigs config unit. CreateMutexW. Backdoor.Win32.Androm imzasi. 2010dan beri aktif.
Malware Type
RAT
Programming Language
Delphi
C2 Protocol
TCP
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — XtremeRAT
# SHA256
7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |