Manuel Statik Analiz — Havoc C2 Framework Beacon | Tehdit: YUKSEK
Datei Kimliği
| SHA256 | 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Größe | 1.143.296 byte (1.1MB beacon agent) |
| String Sayisi | 1.035 (yoğun obfuskasyon) |
Üçlü VM Tespiti
VM Tespiti: 3 platform birden kontrol ediliyor!
vboxguest -- VirtualBox guest agent driver (VirtualBox) vboxmouse -- VirtualBox mouse driver (VirtualBox) vmware -- VMware string (VMware Workstation/ESXi) -- VirtualBox iki ayrı driver ile: vboxguest (genel) + vboxmouse (spesifik) -- İkili VirtualBox kontrolü = daha kesin tespit -- VMware + VirtualBox birlikte: neredeyse tüm sandbox ortamları
Global GUID Mutex
Global\{7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d}
-- Global namespace = sistem genelinde tek instance
-- GUID format mutex: her Havoc beacon için benzersiz
-- "7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d" = bu kampanyanın beacon GUID'i
-- Global mutex ile çift çalışma önlemi
DLP Browser Bypass Modülü
Kurumsal DLP Bypass:
DlpCommunicationChannel -- Chrome/Edge DLP iletişim kanalı sorgulama DlpIsWebsitePolicyConfigured -- Web sitesi DLP politikası kontrol DlpTestConfig -- DLP test konfigürasyonu GetBrowserExtensio(n) -- Tarayıcı uzantıları listeleme -- DLP = Data Loss Prevention (Kurumsal veri sızıntısı koruması) -- Havoc kurumsal DLP sistemlerini sorguluyor: 1. DLP aktif mi? → şifreleme bypass yöntemine geç 2. Hangi web siteleri engelleniyor? → farklı C2 domain seç 3. Hangi uzantılar var? → DLP extension'ı bypass et -- HEDEF: Kurumsal ağlardaki DLP atlatma (finans/sağlık/kamu sektörü)
Havoc C2 Hakkında
Havoc 2022'de C/Go ile yazılmış açık kaynaklı post-exploitation C2 framework. Cobalt Strike ve Brute Ratel alternatifi. Şifreli HTTPS/TCP beacon, process injection, token manipulation, lateral movement. DFIR ekipleri için kayıp: meşru pentest aracı olduğundan tespiti zor.
IOC
| SHA256 | 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Mutex | Global\{7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d} |
HavocC2 — Malware-Profil
Havoc C2 framework 2022. vboxguest vboxmouse vmware VM triple detect. Global GUID mutex. DLP browser bypass modülü.
Malware-Typ
C2Framework
Programmiersprache
C/C++
C2-Protokoll
HTTPS
Zielsysteme
Windows/Linux
Fähigkeiten & Verhalten
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOC-Liste (1 Indikatoren)
IOC — HavocC2
# SHA256
95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |