Manuel Statik Analiz (LLM Okumali) — DarkComet RAT | Tehdit: HIGH
Datei Kimligi
SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
Orijinal Ad f168pro.exe
Größe 762.880 byte (~745 KB)
MD5 ef5fb48c0f5d26272002fb779dec0c47
Dil Delphi (Pascal) — native Windows PE
C2 Altyapisi
DarkComet C2 adresi (TSocketHost/TSocketPort), binary icerisinde sifreli/gizli sekilde saklanmaktadir.
Statische Analysele host bilgisi elde edilemedi; dinamik analiz gerekmektedir.
C2 Host Sifrelenmis konfigurasyonda
C2 Port Sifrelenmis konfigurasyonda
Soket Komponenti TSocketHost / TSocketPort (Delphi network bileseni)
Protokol TCP (DarkComet ozel protokol)
Erkannte Fähigkeiten
Network ve C2
Delphi TIpSocket bileseni ile TCP baglantisi
WSAStartup / WSACleanup — soket baslangici
0.0.0.0 bind (dinleme portu) / giden baglanti destegi
Proses ve Sistem
Proses listeleme: CreateToolhelp32Snapshot, Process32First/Next
Thread ve modul listeleme: Thread32First/Next, Module32First/Next
Bellek okuma: Toolhelp32ReadProcessMemory
Dinamik kutuphane yukleme: BTMemoryLoadLibrary (in-memory/yansimali yukleme)
Import tablosu olusturma: BuildImportTable
Kalicilik
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM ve HKCU run kayitlari
MSConfig startup kaydinin gizlenmesi: SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
Hosts Dateisi Manipülasyonu
drivers\etc\hosts dosyasini degistirerek DNS yonlendirme
UAC etkinse hosts dosyasina erisim engellenmektedir (bu durumu bildirir)
IOC'lar
SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
MD5 ef5fb48c0f5d26272002fb779dec0c47
Datei f168pro.exe
C2 Sifrelenmis (dinamik analiz gerekli)
Nasil Kaldirilir?
Process sonlandirma: f168pro.exe veya atanmis process ismi olan islemi sonlandir
Registry temizle: HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run altindaki supheli girisler
MSConfig: Startup sekmesinden DarkComet baslatma kayitlarini kaldir
Hosts dosyasi: C:\Windows\System32\drivers\etc\hosts icindeki yabanci girisleri temizle
Tam AV tarama: Güncel imzali tarama yap
Teknik Ozet
DarkComet RAT — Delphi ile yazilmis tarihi ve hala aktif olan uzaktan erisim Trojanı.
C2 konfigurasyonu sifrelenmis binary icerisinde saklandigindan statik analizle host/port bilgisi
elde edilememistir. Tespit edilen yetenekler: proses listeleme, dinamik/yansimali DLL yukleme
(BTMemoryLoadLibrary), hosts dosyasi manipülasyonu ve registry kalicilik mekanizmasi.
DarkComet — Malware-Profil
DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.
Programmiersprache
Delphi
Technische Details
Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer
IOC-Liste
(3 Indikatoren)
#
f168pro.exe
# SHA256
b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
# MD5
ef5fb48c0f5d26272002fb779dec0c47
Typ Wert Bemerkung
f168pro.exe
sha256
b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
md5
ef5fb48c0f5d26272002fb779dec0c47
C2-Server
(1 erfasste Server für diese Familie)
Adresse
Typ
Port
Protokoll
Status
Land
dkcomet.dedyn.io
domain
1604
TCP
inactive
DE
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.