Manuel Statik Analiz — NanoCore RAT | Tehdit: YUKSEK
Archivo Kimliği
| SHA256 | 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4 |
|---|---|
| Nombre de archivo | pk68.io.exe (C2 domain ismi!) |
| Tamaño | 207.872 byte |
| String Sayisi | 2.145 |
C2 Domain Nombre de archivonda
Tespit: C2 domain adı dosya ismine gömülmüş: pk68.io
ConfuserEx .NET Obfuskasyonu
#=qY9NY2gigPsj8X4CYx0UCT2vGlqkgsq6GuC2fWqP3Voc= #=qtussAh$DpHFmu7s -- ConfuserEx obfüskülenmiş .NET sembol isimleri (#=q prefix)
PBKDF2 + Bitcoin
Rfc2898DeriveBytes -- AES şifreleme için PBKDF2 anahtar türetme 1abw3Kju8nMffXDIbl5na4zXqclsRK -- NanoCore BTC cüzdanı 1CbaXqZpxrHWaxR5CiRO2OiaCLfsbSk -- NanoCore BTC cüzdanı #2
IOC
| SHA256 | 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4 |
|---|---|
| C2 | pk68.io (dosya adında) |
| BTC | 1abw3Kju8nMffXDIbl5na4zXqclsRK |
NanoCore2 — Perfil del malware
NanoCore .NET RAT 2013. HP Jetstar scanner lure. Administrator PDB FqStwIZtCP. Plugin: keylogger webcam credential.
Tipo de malware
RAT
Lenguaje de programación
C#/.NET
Protocolo C2
TCP
Sistemas objetivo
Kuresel
Capacidades y comportamiento
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Lista IOC (1 indicadores)
IOC — NanoCore2
# SHA256
4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4 |