Manuel Statik Analiz — AresRAT (Python/Linux) | Tehdit: YUKSEK

Archivo Kimliği

SHA256d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Nombre de archivomozella (Mozilla taklidi — Firefox değil!)
TipELF Linux Binary
Tamaño6.346.808 byte (6.3MB)
String Sayisi27.688

Python PyInstaller Embedding

Teknik: Python RAT, PyInstaller ile tek ELF binary'e dönüştürülmüş!
PyImport_AddModule     -- Python C API: modül ekleme
PyImport_ExecCodeModule -- Python C API: kod modülü çalıştırma
PyImport_ImportModule  -- Python C API: modül importu
-- PyInstaller frozen binary imzaları

Python Kütüphane Referansları

requests.cookies(   -- Python requests kütüphanesi cookie hırsızlığı
http.cookies(       -- Python stdlib cookie modülü

AresRAT Hakkında

AresRAT, GitHub'da yayınlanan açık kaynak Python tabanlı cross-platform RAT'tır. Linux, Windows ve macOS'u hedefler. Keylogger, reverse shell, dosya transfer, ekran görüntüsü yeteneklerine sahiptir. PyInstaller ile tek binary'e derlenebilir. "mozella" adı Firefox'u taklit etmek için seçilmiştir.

IOC

SHA256d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Kamuflajmozella (Firefox taklidi)
TipPyInstaller frozen Python ELF

AresRAT — Perfil del malware

AresRAT acik kaynak Python RAT. PyInstaller ELF. Linux/Windows/macOS. Keylogger, reverse shell.

Tipo de malware
RAT
Lenguaje de programación
Python
Protocolo C2
HTTP/TCP
Sistemas objetivo
Kuresel/Linux

Capacidades y comportamiento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (1 indicadores)

IOC — AresRAT
# SHA256 d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
TipoValorNota
sha256 d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Etiquetas
aresratpyinstallerlinux-elfpython-embeddedmozellarequests-library