Manuel Statik Analiz — WarzoneRAT (Ave Maria RAT) | Tehdit: YUKSEK
ファイル Kimliği
| SHA256 | 536d2e05383047b69687048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| ファイル名 | PO.exe (Purchase Order — Satın Alma Emri) |
| サイズ | 968.704 byte (968KB) |
| String Sayisi | 6.168 |
Satın Alma Emri Tuzağı
PO.exe -- "PO" = Purchase Order (Satın Alma Emri) — kurumsal finans belgesi -- Tedarik zinciri / satın alma departmanı hedefi -- Email eki: "PO belgesi gönderiyorum.exe" senaryosu
OVH Barındırma C2
http://sgames.ovh.org -- "sgames" = simple/server games (oyun servisi görünümü) -- ovh.org = OVH bulut altyapısı barındırması -- OVH Fransa merkezli → büyük hosting → C2 trafiği tespit edilmez
IOC
| SHA256 | 536d2e05383047b69687048b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | http://sgames.ovh.org |
| Lure | PO.exe (satın alma emri) |
WarzoneRAT2 — マルウェアプロファイル
WarzoneRAT/AveMaria RAT 2019 MaaS $40/ay. sgames.ovh.org C2. PO.exe iş lure. Credential stealing+UAC bypass.
マルウェアの種類
RAT
プログラミング言語
C++
C2プロトコル
TCP
標的システム
Küresel Kurumsal
機能と挙動
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOCリスト (1 件の指標)
IOC — WarzoneRAT2
# DOMAIN
ovh.org
| タイプ | 値 | メモ |
|---|---|---|
| domain | ovh.org |
C2サーバー (このファミリーで1台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| sgames.ovh.org | domain | 80 | HTTP | inactive | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。