Manuel Statik Analiz (LLM Okumali) — DarkComet RAT | Tehdit: HIGH

Datei Kimligi

SHA256b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
Orijinal Adf168pro.exe
Größe762.880 byte (~745 KB)
MD5ef5fb48c0f5d26272002fb779dec0c47
DilDelphi (Pascal) — native Windows PE

C2 Altyapisi

DarkComet C2 adresi (TSocketHost/TSocketPort), binary icerisinde sifreli/gizli sekilde saklanmaktadir. Statische Analysele host bilgisi elde edilemedi; dinamik analiz gerekmektedir.
C2 HostSifrelenmis konfigurasyonda
C2 PortSifrelenmis konfigurasyonda
Soket KomponentiTSocketHost / TSocketPort (Delphi network bileseni)
ProtokolTCP (DarkComet ozel protokol)

Erkannte Fähigkeiten

Network ve C2

  • Delphi TIpSocket bileseni ile TCP baglantisi
  • WSAStartup / WSACleanup — soket baslangici
  • 0.0.0.0 bind (dinleme portu) / giden baglanti destegi

Proses ve Sistem

  • Proses listeleme: CreateToolhelp32Snapshot, Process32First/Next
  • Thread ve modul listeleme: Thread32First/Next, Module32First/Next
  • Bellek okuma: Toolhelp32ReadProcessMemory
  • Dinamik kutuphane yukleme: BTMemoryLoadLibrary (in-memory/yansimali yukleme)
  • Import tablosu olusturma: BuildImportTable

Kalicilik

  • SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKLM ve HKCU run kayitlari
  • MSConfig startup kaydinin gizlenmesi: SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Hosts Dateisi Manipülasyonu

  • drivers\etc\hosts dosyasini degistirerek DNS yonlendirme
  • UAC etkinse hosts dosyasina erisim engellenmektedir (bu durumu bildirir)

IOC'lar

SHA256b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
MD5ef5fb48c0f5d26272002fb779dec0c47
Dateif168pro.exe
C2Sifrelenmis (dinamik analiz gerekli)

Nasil Kaldirilir?

  1. Process sonlandirma: f168pro.exe veya atanmis process ismi olan islemi sonlandir
  2. Registry temizle: HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run altindaki supheli girisler
  3. MSConfig: Startup sekmesinden DarkComet baslatma kayitlarini kaldir
  4. Hosts dosyasi: C:\Windows\System32\drivers\etc\hosts icindeki yabanci girisleri temizle
  5. Tam AV tarama: Güncel imzali tarama yap

Teknik Ozet

DarkComet RAT — Delphi ile yazilmis tarihi ve hala aktif olan uzaktan erisim Trojanı. C2 konfigurasyonu sifrelenmis binary icerisinde saklandigindan statik analizle host/port bilgisi elde edilememistir. Tespit edilen yetenekler: proses listeleme, dinamik/yansimali DLL yukleme (BTMemoryLoadLibrary), hosts dosyasi manipülasyonu ve registry kalicilik mekanizmasi.

DarkComet — Malware-Profil

DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.

Malware-Typ
RAT
Programmiersprache
Delphi
C2-Protokoll
TCP
Zielsysteme
Windows

Technische Details

Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer

Fähigkeiten & Verhalten

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC-Liste (3 Indikatoren)

IOC — DarkComet
# f168pro.exe # SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1 # MD5 ef5fb48c0f5d26272002fb779dec0c47
TypWertBemerkung
f168pro.exe
sha256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
md5 ef5fb48c0f5d26272002fb779dec0c47

C2-Server (1 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
dkcomet.dedyn.io domain 1604 TCP inactive DE

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
darkcometratdelphibtmemoryhosts-manipulationregistrystatik-analiz