Statik Analiz — DCRat | | CVSS: 7.5

ファイル

SHA2566bd31dfd36ce82e588f37a9ad233c022e0a87b132dc01b93ebbab05b57e5defd
MD56c3cef3ea655f113fdbfab3b80f87ad6
ファイル6bd31dfd36ce82e588f37a9ad233c022e0a87b132dc01b93ebbab05b57e5defd.exe
サイズ1,598,464 byte
種別PE32 executable for MS Windows 6.00 (GUI), Intel i386 Mono/.Net assembly, 3 sections
Stringler4,243

Bölümler

AdEntropi
.text7.96
.rsrc7.82
.reloc0.1

Import Tablosu

  • mscoree.dll

IOC

SHA2566bd31dfd36ce82e588f37a9ad233c022e0a87b132dc01b93ebbab05b57e5defd
MD56c3cef3ea655f113fdbfab3b80f87ad6
IP4.0.12.0, 4.3.0.0, 4.0.11.0, 4.1.3.0, 4.0.0.0, 4.2.0.0, 4.0.1.0, 4.1.2.0
Domainsystem.net, system.io
MutexCreateMutex
C2system.net, system.io

DCRat — マルウェアプロファイル

DCRat Rusça RAT. sostener1.vbs VBScript dropper. PowerShell ExecutionPolicy Bypass. geutqmonpmjthuux.ru DGA C2.

マルウェアの種類
RAT
プログラミング言語
C#/.NET
C2プロトコル
HTTP
標的システム
Windows
別名 (AKA)
DarkCrystal

技術詳細

.NET C#, AES-128-CBC sifreleme, plugin mimarisi (DLLler), TCP varsayilan port 5552, SQLite lokal depolama, Anti-VM/Sandbox (Process check, Registry), Loader, Stealer, RAT modulleri ayri

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (13 件の指標)

IOC — DCRat
# IP 4.0.12.0 # IP 4.3.0.0 # IP 4.0.11.0 # IP 4.1.3.0 # IP 4.0.0.0 # IP 4.2.0.0 # IP 4.0.1.0 # IP 4.1.2.0 # IP 4.0.2.0 # IP 4.1.1.0 # DOMAIN system.net # DOMAIN system.io # MUTEX CreateMutex
タイプメモ
ip 4.0.12.0 C2 aday
ip 4.3.0.0 C2 aday
ip 4.0.11.0 C2 aday
ip 4.1.3.0 C2 aday
ip 4.0.0.0 C2 aday
ip 4.2.0.0 C2 aday
ip 4.0.1.0 C2 aday
ip 4.1.2.0 C2 aday
ip 4.0.2.0 C2 aday
ip 4.1.1.0 C2 aday
domain system.net C2 domain
domain system.io C2 domain
mutex CreateMutex Mutex

C2サーバー (このファミリーで8台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
microsoft.com domain — TCP active —
digicert.com domain — TCP active —
crypto.io domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
DCRatmalwarestatik-analizIOC