Manuel Statik Analiz — Havoc C2 Framework | Tehdit: KRITIK
Datei Kimliği
| SHA256 | 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Größe | 1.143.296 byte (Havoc C2 implant/agent) |
| String Sayisi | 1.035 |
VM Tespit Stringleri
Sandbox Kaçınma: Havoc C2 implantı VirtualBox ve VMware tespiti yapıyor!
vboxguest -- VirtualBox konuk ilave sürücüsü (Guest Additions) vboxmouse -- VirtualBox fare sürücüsü vmware -- VMware platform tespiti -- Sanal makine veya sandbox ortamı tespit edilirse çalışmayı durduruyor -- EDR/AV sandbox analizi atlama tekniği
Havoc C2 Hakkında
Havoc, 2022'de C ile yazılmış ve ücretsiz olarak yayınlanan açık kaynak red team C2 framework'üdür. Cobalt Strike ve BruteRatel C4'ün alternatifi. Process injection, token impersonation, in-memory PE loading, sleep obfuscation gibi gelişmiş post-exploitation teknikleri içerir. Iran, Rusya ve Kuzey Kore bağlantılı APT gruplarının Havoc'u kötüye kullandığı raporlanmıştır.
IOC
| SHA256 | 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| VM Kaçınma | vboxguest, vboxmouse, vmware |
| Kullanıcı | İran, Rusya, DPRK APT grupları (kötüye kullanım) |
HavocC2 — Malware-Profil
Havoc C2 framework 2022. vboxguest vboxmouse vmware VM triple detect. Global GUID mutex. DLP browser bypass modülü.
Malware-Typ
C2Framework
Programmiersprache
C/C++
C2-Protokoll
HTTPS
Zielsysteme
Windows/Linux
Fähigkeiten & Verhalten
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOC-Liste (1 Indikatoren)
IOC — HavocC2
# SHA256
95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |