Datei Kimligi
| SHA256 | 7b8787d64d8a0349bb302fca1a76267de0d22e5a2c1b3f4a8d9e6c7b0f2e3d14 |
|---|---|
| Orijinal Ad | Client.exe |
| Dil | .NET Framework 4.0 |
| Versiyon | 1.0.7.0 |
Gelistirici Imzasi
DcRatByqwqdanchun cleartext olarak bulunmaktadir. Bu, DCRat ailesi icin kesin teyit saglar.
DcRatByqwqdanchun <-- Gelistirici imzasi (cleartext) MutexControl <-- Mutex adi $29840822-5B84-11D0-BD3B-00A0C911CE86 <-- GUID
DCRat Hakkinda
DCRat (Dark Crystal RAT), qwqdanchun takma adli bir gelistirici tarafindan 2019 yilinda ortaya cikan ve Russian RuTOR forumunda dusuk maliyetle satilan bir .NET RATdir. Rusya kokenli underground gelistirme surecinin nadir bir ornegi olan DCRat, moduler mimarisiyle dikkat ceker.
DCRat Yetenekleri
| Modul | Yetenek |
|---|---|
| Temel RAT | Uzak kabuk, dosya yonetimi, surec yonetimi |
| Keylogger | Tus kaydi ve ekran goruntusu |
| Stealer | Tarayici sifreleri, Discord token, Telegram |
| Clipper | Kripto cuzdan adresi degistirme |
| Ransomware | Secilebilir modul (nadiren kullanilir) |
| HVNC | Gizli uzak masaustu |
MB Etiketi Yanilticiligi
Bu ornek MalwareBazaar tarafindan AsyncRAT olarak etiketlenmistir. Ancak binary icindeki DcRatByqwqdanchun dizisi, bu orneklerin DCRat olduğunu kesin sekilde ortaya koymaktadir. DCRat, AsyncRAT kod tabanini fork alarak gelistirildiginden otomatik analiz sistemleri zaman zaman yanlis etiketleyebilir.
IOC
| SHA256 | 7b8787d64d8a0349bb302fca1a76267de0d22e5a2c1b3f4a8d9e6c7b0f2e3d14 |
|---|---|
| Gelistirici | qwqdanchun |
| Mutex | MutexControl |
| Versiyon | 1.0.7.0 |
| GUID | $29840822-5B84-11D0-BD3B-00A0C911CE86 |
| C2 | Sifrelenmis TCP (dinamik analiz gerekli) |
DCRat — Malware-Profil
DCRat Rusça RAT. sostener1.vbs VBScript dropper. PowerShell ExecutionPolicy Bypass. geutqmonpmjthuux.ru DGA C2.
Technische Details
.NET C#, AES-128-CBC sifreleme, plugin mimarisi (DLLler), TCP varsayilan port 5552, SQLite lokal depolama, Anti-VM/Sandbox (Process check, Registry), Loader, Stealer, RAT modulleri ayri
Fähigkeiten & Verhalten
IOC-Liste (1 Indikatoren)
# SHA256
7b8787d64d8a0349bb302fca1a76267de0d22e5a2c1b3f4a8d9e6c7b0f2e3d14
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 7b8787d64d8a0349bb302fca1a76267de0d22e5a2c1b3f4a8d9e6c7b0f2e3d14 |
C2-Server (8 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| microsoft.com | domain | — | TCP | active | — |
| digicert.com | domain | — | TCP | active | — |
| crypto.io | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.