Manuel Statik Analiz (LLM Okumali) — WarzoneRAT (Ave Maria) | Tehdit: KRITIK

ファイル Kimligi

SHA256fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
String Sayisi1.740

ファミリー Teyit Stringleri

StringAnlami
warzoneTURBOWarzoneRAT mutex adi — aile teyidi
Ring3 CRAT x64 (PDB)Ring3 = kullanici modu (kernel surucusu olmayan) RAT

Gelistirici Izi — PDB Analizi

Dikkat: Bu ornekte IKI farkli PDB yolu bulunmaktadir. Biri gercek gelistiriciyi isaret eder, digeri kasitli yaniltici (false flag) yerlestirilmistir.
Gercek PDBC:\Users\W7H64\source\repos\Ring3 CRAT x64\Ring3 CRAT x64\nope.pdb
Yaniltici PDBC:\Users\Vitali Kremez\Documents\MidgetPorn\workspace\MsgBox.exe

Vitali Kremez, tanimli bir guvenlik arastirmacisidir. Bu yolun binary'ye eklenmesi analistleri yaniltmaya yonelik kasitli bir false flag stratejisidir. Gercek gelistirici kimlik bilgisi: W7H64

RDP Etkinlestirme (fDenyTSConnections)

fDenyTSConnections   (HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server)

WarzoneRAT, hedef sistemde RDP'yi etkinlestirmek icin bu registry degerini 0'a ayarlar. Bu, saldirganin kalici uzaktan erisime sahip olmasini saglar.

NT API Kullanimı (Anti-Debug / Derin Sistem Erisimi)

NtQuerySystemInformation     — Sistem/surec bilgisi (sandbox tespiti icin kullanilabilir)
NtQueryDirectoryFile         — Dosya sistemi sorgulama
NtQueryValueKey              — Registry deger sorgulama
NtQueryKey                   — Registry anahtar sorgulama
VirtualAllocEx / VirtualProtect — Bellek ayirma/koruma (injection icin)
CreateThread                 — Thread olusturma

WarzoneRAT Yetenekleri

  • Uzaktan kabuk (reverse shell)
  • Keylogger
  • HVNC (Gizli VNC — kurban ekrani gorunmeden)
  • UAC bypass
  • RDP etkinlestirme
  • ファイル yonetimi
  • Tarayici sifre calma
  • Webcam erisiimi
  • Process injection

IOC

SHA256fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
MutexwarzoneTURBO
PDB (Gercek)C:\Users\W7H64\source\repos\Ring3 CRAT x64\...\nope.pdb
RDP KayitfDenyTSConnections = 0
C2Sifrelenmis (dinamik analiz gerekli)

WarzoneRAT — マルウェアプロファイル

WarzoneRAT Ave Maria RAT. 2026 itibariyla aktif. Tarih prefixli dagitim. Config karması 45A06E. Uclu anti-debug.

マルウェアの種類
RAT
プログラミング言語
C++
C2プロトコル
TCP
標的システム
Windows
別名 (AKA)
Ave Maria

技術詳細

C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli

アトリビューション / 脅威アクター

Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (1 件の指標)

IOC — WarzoneRAT
# SHA256 fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
タイプメモ
sha256 fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01

C2サーバー (このファミリーで2台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
185.216.36.143 ip 4500 TCP inactive BG
cloudflareprotected.xyz domain 5200 TCP inactive RU

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
warzoneratavemariaratring3mutex-warzoneTURBOrdp-aktiflestimepdb-W7H64nt-api