Manuel Statik Analiz — NetWire | Tehdit: YUKSEK

ファイル Kimliği

SHA25600f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
ファイル名x00f01750.exe (hash önek ismi — OPSEC)
サイズ1.462.026 byte (1.4MB)
String Sayisi5.945

CoSetProxyBlanket: COM Kimlik Doğrulama Bypass

COM BYPASS: WMI güvenlik kanalı devre dışı!
CoSetProxyBlanket (ole32.dll)
-- COM proxy güvenlik ayarı değiştirme
-- Tipik kullanım: CoSetProxyBlanket(pSvc, RPC_C_AUTHN_WINNT, ..., EOAC_NONE)
-- "EOAC_NONE" = kimlik doğrulama yetenekleri: HİÇBİR
-- Etki: WMI sorgularında authentication bypass
-- NetWire: WMI üzerinden sistem bilgisi toplar → CoSetProxyBlanket ile engellenmeden
-- Teknik: WMI + DCOM aracılığıyla sysinfo/process/network bilgisi

Hash Önek ファイル名

x00f01750.exe
-- "x" + kısaltılmış hash = anonim isim
-- Görev yöneticisinde anlamsız, akılda kalmayan isim
-- Her kurban için farklı hash → imza tabanlı AV'yi atlatır

IOC

SHA25600f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TeknikCoSetProxyBlanket EOAC_NONE COM bypass

NetWire — マルウェアプロファイル

NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.

マルウェアの種類
RAT
プログラミング言語
C
C2プロトコル
TCP
標的システム
Windows/Linux/macOS

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (1 件の指標)

IOC — NetWire
# SHA256 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
タイプメモ
sha256 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
タグ
netwirecosetproxyblanket-com-bypasseoac-none-wmix00f01750-hash-filenametriple-antidebugcom-security-bypasswmi-authentication-bypass