Manuel Statik Analiz (LLM Okumali) — LimeRAT v0.1.9.1 | Tehdit: HIGH

Archivo Kimligi

SHA256b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11
Orijinal Addetail.exe
Tamaño29.184 byte (~28.5 KB)
PE TipiPE32 — .NET Framework (VB.NET) assembly
VersiyonLimeRAT v0.1.9.1
DilMicrosoft Visual Basic .NET (MSVB)

C2 Altyapisi

C2 URL DOGRULANMIS (cleartext): https://hu88999.com/home/event/detail
Panel Domaini: hu88999.com
C2 URLhttps://hu88999.com/home/event/detail (HTTPS, cleartext tespit)
Domainhu88999.com — operatora ait suphelik domain
ProtokolHTTPS (Web-tabanlı C2 paneli)
Dropped Filehu88999.exe (AppData klasörüne kopyalanır)

Kalicilik Mekanizmalari

Scheduled Taskschtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr "..."
RegistrySoftware\Microsoft\Windows\CurrentVersion\Run\
Dropped%AppData%\hu88999.exe

Anti-Analiz Teknikleri

VMware Tespitivmware string varligi kontrolü
VirtualBox\vboxhook.dll yüklü mu kontrolü
SandboxieSbieDll.dll varligi kontrolü
Registry Anti-VMSystem\CurrentControlSet\Services\Disk\Enum\ — VM disk sürücü tespiti (Base64 gizlenmis)
Self-Deletecmd.exe /c ping 0 -n 2 & del — ping bekleme + kendini silme (Base64 gizlenmis)
Process KorumaRtlSetProcessIsCritical — proses sonlandirilirsa BSOD olusturur
AES SifrelemeRijndaelManaged — ag trafikgini sifreleme

Teknik Yetenekler

RAT Ozellikleri

  • Uzaktan kabuk yürütme
  • Ekran görüntüsü: CopyFromScreen
  • Clipboard izleme/hirsizlik: get_Clipboard
  • Archivo indirme: WebClient.DownloadFile
  • Archivo silme: DeleteFile
  • WMI sorgu: Win32_Processor, Win32_BIOS, Win32_VideoController
  • AV tespit: SELECT * FROM AntivirusProduct
  • Sistem bilgisi toplama: get_MachineName, get_OSFullName, get_UserName

Ek Tehdit Modulleri

  • Kripto Madenci: --donate-level= parametresi — gizli XMR madenciligi (Minning...)
  • DDoS/Flood: TCP/UDP flood modulu
  • USB Yayilma: USB sürücülere kopya yayar (PLUSB modulu)
  • PIN Hirsizligi: PLPIN modulu
  • Ransomware: Rans-Status kontrolü (sifreli/sifresiz dosya durumu)
  • Code Bypass: Regasm.exe ile UAC/AV atlama
  • Kod Yürütme: FromBase64String ile runtime kod cözme

Protokol Yapisi

LimeRAT, C2 ile HTTPS uzerinden haberlesir ve mesajlari |'N'| ve |'L'| ayiricilarla çerceveler. RijndaelManaged (AES) ile sifrelenmis trafik icin hardcoded Key ve IV binary icerisinde gizlenmistir.

Base64 kodlanmis gizlenmis satirlar:

  • U3lzdGVtX...System\CurrentControlSet\Services\Disk\Enum\ (anti-VM)
  • Y21kLmV4ZS...cmd.exe /c ping 0 -n 2 & del (self-delete)

IOC'lar

SHA256b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11
C2 URLhttps://hu88999.com/home/event/detail
C2 Domainhu88999.com
Droppedhu88999.exe (%AppData%)
TaskLimeRAT-Admin (schtasks ONLOGON HIGHEST)
RegistryHKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Versiyonv0.1.9.1

Nasil Kaldirilir?

  1. Ag engeli: hu88999.com domainini DNS/güvenlik duvarından engelle
  2. Scheduled Task sil: schtasks /delete /tn "LimeRAT-Admin" /f
  3. Registry temizle: HKCU\Software\Microsoft\Windows\CurrentVersion\Run altinda hu88999.exe girisini sil
  4. Archivo sil: %AppData%\hu88999.exe dosyasini bul ve sil
  5. Madenci kontrol: yüksek CPU kullanimi varsa madenci modulu aktif olabilir
  6. Tam AV tarama: güncel imzali tam sistem taramasi yap

Teknik Ozet

LimeRAT v0.1.9.1 — VB.NET ile gelistirilmis cok modüllü bir Uzak Erisim Trojanı. C2 olarak https://hu88999.com/home/event/detail adresini kullanan bu ornek (cleartext binary'de tespit edildi), ekran yakalama, clipboard hirsizligi, kripto madenciligi (XMR), DDoS/flood, USB yayilma, ransomware modulü ve gelismis anti-VM/anti-sandbox mekanizmalari icermektedir. Base64 gizlenme, RtlSetProcessIsCritical ile proses koruma ve AES (RijndaelManaged) ile ag trafikgini sifreleme kullanilmaktadir.

LimeRAT — Perfil del malware

LimeRAT Hindistan Kalyan Matka piyango temasiyla dağıtılan. kalyanonlinematkaapp.in.net C2. Disk Enum VM tespiti. AES crypto.

Tipo de malware
RAT
Lenguaje de programación
C#/.NET
Protocolo C2
TCP
Sistemas objetivo
Windows

Detalles técnicos

C# .NET, AES sifreleme, TCP, Plugin tabanlı: RAT + Miner + Ransomware + Stealer, Clipboard Bitcoin hijacker, Monero madenci dahili, UAC bypass, Anti-analysis

Capacidades y comportamiento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (6 indicadores)

IOC — LimeRAT
# LimeRAT-Admin # SHA256 b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11 # DOMAIN hu88999.com # REGISTRY HKCU\Software\Microsoft\Windows\CurrentVersion\Run # FILEPATH hu88999.exe # URL https://hu88999.com/home/event/detail
TipoValorNota
LimeRAT-Admin
sha256 b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11
domain hu88999.com
registry HKCU\Software\Microsoft\Windows\CurrentVersion\Run
filepath hu88999.exe
url https://hu88999.com/home/event/detail

Servidores C2 (5 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
kalyanonlinematkaapp.in.net domain 443 HTTPS active —
kalyanonlinematkaapp.in.net domain 443 HTTPS active —
hu88999.com domain 443 HTTPS inactive —
45.90.222.109 ip 1177 TCP inactive DE
88.198.47.34 ip 4444 TCP inactive DE

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
limeratratvbnethu88999c2-urlcrypto-minerddosusb-spreadransomwareanti-vmstatik-analiz