Manuel Statik Analiz — AteraAgent (Meşru Araç Kötüye Kullanım) | Tehdit: YUKSEK
ファイル Kimliği
| SHA256 | 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| ファイル名 | hmlineear.msi (rastgele isim — AteraAgent MSI yükleyicisi) |
| サイズ | 8.597.504 byte (8.2MB MSI) |
| String Sayisi | 42.630 |
Meşru RMM Aracı Saldırısı: Living Off The Land
UYARI: AteraAgent = Meşru yazılım, ama saldırganlar tarafından kötüye kullanılıyor!
AteraAgent (Atera Networks) = Yasal IT yönetim aracı -- Sistem yöneticileri tarafından BT desteği için kullanılıyor -- Uzaktan dosya yönetimi, komut çalıştırma, süreç izleme -- Antivirüs tarafından ENGELLENMEZ (imzalı, meşru yazılım!) -- Saldırganlar: kurban makineye izinsiz AteraAgent kurar → 7/24 uzaktan erişim elde eder → AV/EDR alarm vermez → Kalıcılık: Windows Service olarak kurulur
MSI Yükleyici Detayları
hmlineear.msi — AteraAgent MSI paketi -- "hmlineear" = rastgele karıştırılmış isim (kimlik gizleme) -- İçindeki domain: ps.atera.com/installers/dotnet/NDP472-K... -- .NET 4.7.2 gereksinimi: ps.atera.com'dan indirir -- Kayıt URL: dot.net/v1/dotnet-install.ps1 (Microsoft .NET installer) -- AteraAgent customer ID gömülü MSI içine → hangi saldırgan hesabına bağlanacağı
IOC
| SHA256 | 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Yöntem | Meşru RMM aracı (AteraAgent) yetkisiz kurulum |
| Tehlike | AV bypass + kalıcı uzaktan erişim |
AteraRAT — マルウェアプロファイル
AteraAgent meşru RMM araci kötüye kullanim. Living off the land. AV bypass. hmlineear.msi randomize isim. ps.atera.com üzerinden kurulum.
マルウェアの種類
RAT
プログラミング言語
Commercial RMM
C2プロトコル
HTTPS RMM
標的システム
Küresel
機能と挙動
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOCリスト (1 件の指標)
IOC — AteraRAT
# SHA256
60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |