Genel Bakış

Bu örnek, Snake KeyloggerCelesty Binder ile paketlenmiş ve Telegram üzerinden C2 iletişimi kuran gelişmiş bir malware paketidir. İçerisinde birden fazla bileşen barındırmakta; şifre çalma, klavye kaydı ve Telegram bot üzerinden veri sızdırma yeteneklerine sahiptir.

Bileşen Analizi

Snake Keylogger

  • -------- Snake Keylogger -------- dizesi 59 kez tekrarlanıyor (her bileşen kopyasında)
  • | Snake Keylogger dahili tanımlayıcısı
  • Klavye kaydı, şifre toplama, tarayıcı veri hırsızlığı
  • get_encryptedPassword → şifreli parola çalma

Celesty Binder (DarkCoderSc)

  • PDB yolu: C:\Users\DarkCoderSc\Desktop\Celesty Binder\Stub\STATIC\Stub.pdb
  • DarkCoderSc — Celesty Binder'ın Fransız geliştirici yazarı
  • Snake Keylogger bu binder ile paketlenip dağıtılmıştır

Ring3 CRAT x64 (Credential RAT)

  • PDB yolu: C:\Users\W7H64\source\repos\Ring3 CRAT x64\Ring3 CRAT x64\nope.pdb
  • Ring 3 (user-mode) kimlik bilgisi toplama aracı x64

Telegram C2 İletişimi

  • https://api.telegram.org/bot
  • /sendMessage?chat_id= — metin mesaj gönderme
  • /sendDocument?chat_id= — dosya (çalınan veri) gönderme
  • İlk IP: http://checkip.dyndns.org/ — kurbanın IP adresini öğrenme
  • icoremail.net — e-posta sunucusu hedefi

Şifreleme

  • BCrypt kullanımı: BCRYPT_AUTHENTICATED_CIPHER_MODE_INFO
  • RSA: BCRYPT_OAEP_PADDING_INFO, BCRYPT_PSS_PADDING_INFO
  • Çalınan veriler şifreli olarak Telegram'a gönderilmektedir

Ek Bulgular

  • Drop dosyası: YFGGCVyufgtwfyuTGFWTVFAUYVF.exe (rastgele isim)
  • RDP kötüye kullanımı: [experimental] patch Terminal Server service to allow multiples users
  • Minesweeper GitHub bağlantısı (kamuflaj amaçlı gömülü)

Teknik 項目ler

項目
ファミリーleriSnake Keylogger + Celesty Binder + Ring3 CRAT x64
サイズ515.584 bayt
C2 プロトコルTelegram Bot API (HTTPS)
IP Tespiticheckip.dyndns.org
ŞifrelemeBCrypt AES + RSA OAEP

IOC Özeti

  • C2: https://api.telegram.org/bot
  • IP Check: http://checkip.dyndns.org/
  • PDB: C:\Users\DarkCoderSc\Desktop\Celesty Binder
  • PDB: C:\Users\W7H64\source\repos\Ring3 CRAT x64
  • SHA256: 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec

Snake Keylogger — マルウェアプロファイル

Snake Keylogger (404 Keylogger olarak da bilinir), .NET ile gelistirilmis cok kanalli bir bilgi hirsizı ve keylogger. SMTP, FTP ve Telegram bot API araciligiyla ceyrilen verileri (sifre, ekran goruntüsü, pano icerik, tus kaydi) exfiltre eder.

マルウェアの種類
Infostealer
プログラミング言語
.NET (C#)
C2プロトコル
SMTP/FTP/Telegram
標的システム
Küresel

機能と挙動

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOCリスト (4 件の指標)

IOC — Snake Keylogger
# SHA256 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec # DOMAIN api.telegram.org # DOMAIN checkip.dyndns.org # DOMAIN icoremail.net
タイプメモ
sha256 62ae48d339e52a1b5be82e703025f2be10d6025f97fd784d40f2781d6ee886ec
domain api.telegram.org
domain checkip.dyndns.org
domain icoremail.net
タグ
snake-keyloggerkeyloggercelesty-binderdarkcodersctelegramc2ring3-cratstealerbcryptrsacredential-theftrdp