BitRAT | 脅威レベル: high | 種別: RAT

暗号学的識別子

SHA256b58321b95226031b34e9439804673533b0f16f921ec0bfb535c80b23b226a290
MD5523ba4342b29b679d735435562a54280
ファイル種別exe
サイズ3851.0 KB
初回確認2022-06-03
ファイル名namjs.exe
タグBitRAT, exe

マルウェア ファミリー: BitRAT

BitRAT, geniş işlevli RAT'tır.

種別RAT
プログラミング言語C++
対象プラットフォームWindows
C2 プロトコルTCP
目的Çok işlevli RAT
初回確認年2020

脅威指標 (IOC)

  • SHA256: b58321b95226031b34e9439804673533b0f16f921ec0bfb535c80b23b226a290
  • MD5: 523ba4342b29b679d735435562a54280

システム クリーンアップ ガイド

  1. システムをネットワークから切断する(LAN ケーブルを抜き、Wi-Fi を無効化)
  2. タスク マネージャーで不審なプロセスを終了する
  3. Malwarebytes または Kaspersky でシステム全体をスキャンする
  4. HKCU\Software\Microsoft\Windows\CurrentVersion\Run kayıtlarını kontrol edin
  5. タスク スケジューラで新規作成されたタスクを確認する
  6. 安全な端末からすべてのアカウントのパスワードを変更する
  7. Gerekirse Windows'u yeniden yükleyin ve verilerinizi temiz bir yedeğe geri alın

YARA ルールのヒント

rule BitRAT_SHA256 {
    meta:
        description = "BitRAT sample: b58321b95226031b"
        threat_level = "high"
        first_seen = "2022-06-03"
    condition:
        hash.sha256(0, filesize) == "b58321b95226031b34e9439804673533b0f16f921ec0bfb535c80b23b226a290"
}

BitRAT — マルウェアプロファイル

BitRAT commercial RAT. golink.com dead drop C2. Windows Defender/SmartScreen/Security Guard full disable. SCMConfig LSA manipulation.

マルウェアの種類
RAT
プログラミング言語
C++
C2プロトコル
TCP
標的システム
Windows

技術詳細

C++, AES-256 sifreleme, TCP, Hidden VNC (UltraVNC tabanli), HVNC, Keylogger, Stealer, XMRig miner dahili, UAC bypass (CMSTPLUA/COMPUTERDEFAULTS), DDoS modulu

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (2 件の指標)

IOC — BitRAT
# SHA256 b58321b95226031b34e9439804673533b0f16f921ec0bfb535c80b23b226a290 # MD5 523ba4342b29b679d735435562a54280
タイプメモ
sha256 b58321b95226031b34e9439804673533b0f16f921ec0bfb535c80b23b226a290
md5 523ba4342b29b679d735435562a54280

C2サーバー (このファミリーで3台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
cdn.discordapp.com domain 443 — active —
185.246.188.67 ip 9999 TCP inactive RU
cdn.discordapp.com/attachments/1217028370865455188/1222062384437526538/Fdliipctaw.mp3 domain 443 — inactive —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
bitratratmalwarehighsha256analizzenginleştirilmiş