Manuel Statik Analiz — NetWire | Tehdit: YUKSEK
ファイル Kimliği
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| ファイル名 | x00f01750.exe (hash önek ismi — OPSEC) |
| サイズ | 1.462.026 byte (1.4MB) |
| String Sayisi | 5.945 |
CoSetProxyBlanket: COM Kimlik Doğrulama Bypass
COM BYPASS: WMI güvenlik kanalı devre dışı!
CoSetProxyBlanket (ole32.dll) -- COM proxy güvenlik ayarı değiştirme -- Tipik kullanım: CoSetProxyBlanket(pSvc, RPC_C_AUTHN_WINNT, ..., EOAC_NONE) -- "EOAC_NONE" = kimlik doğrulama yetenekleri: HİÇBİR -- Etki: WMI sorgularında authentication bypass -- NetWire: WMI üzerinden sistem bilgisi toplar → CoSetProxyBlanket ile engellenmeden -- Teknik: WMI + DCOM aracılığıyla sysinfo/process/network bilgisi
Hash Önek ファイル名
x00f01750.exe -- "x" + kısaltılmış hash = anonim isim -- Görev yöneticisinde anlamsız, akılda kalmayan isim -- Her kurban için farklı hash → imza tabanlı AV'yi atlatır
IOC
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Teknik | CoSetProxyBlanket EOAC_NONE COM bypass |
NetWire — マルウェアプロファイル
NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.
マルウェアの種類
RAT
プログラミング言語
C
C2プロトコル
TCP
標的システム
Windows/Linux/macOS
機能と挙動
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOCリスト (1 件の指標)
IOC — NetWire
# SHA256
00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |