Manuel Statik Analiz (LLM Okumali) — NanoCore RAT | Tehdit: KRITIK
Datei Kimligi
| SHA256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
|---|---|
| Orijinal Ad | pk68.io.exe |
| Größe | 207.872 byte |
| Dil | .NET Framework 2.0 |
Familie Teyit Stringleri
NanoCore Client — Istemci uygulama adi NanoCore Client.exe — Dahili dosya adi NanoCore — Ana urun adi NanoCore.ClientPlugin — Plugin sistemi namespace'i
Teslimat
pk68.io.exe adi, kullanicilari mecrua bir yazilim adi ile kandiran bir teslimat alaninin (pk68.io) adini tasimaktadir. Bu durum, NanoCore'un sahte yazilim indirme siteleri uzerinden dagitildigina isaret etmektedir.
NanoCore RAT Yetenekleri
| Modul/Plugin | Yetenek |
|---|---|
| ClientPlugin | Moduler plugin mimarisi — yeni ozellikler eklenebilir |
| Keylogger | Tus kaydi ve clipboard izleme |
| Remote Shell | Komut satiri erisimi |
| Stealer | Tarayici ve email sifre calma |
| Screen | Uzak masaustu (RDP benzeri) |
| Webcam | Kamera erisimi |
| DDoS | Dagitik servis engelleme (bazi sürümlerde) |
IOC
| SHA256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
|---|---|
| Dagitim Domaini | pk68.io |
| C2 | TCP — sifrelenmis (dinamik analiz gerekli) |
NanoCore — Malware-Profil
NanoCore RAT .NET. HP scanner lures. FqStwIZtCP PDB path recurring. Plugin: GetConfig/SetConfig/conjugatePair.
Malware-Typ
RAT
Programmiersprache
.NET
C2-Protokoll
TCP
Zielsysteme
Windows
Technische Details
.NET, plugin tabanli (DLL eklentiler), AES-128 sifreleme, port TCP dinamik, Mutex rastgele GUID, GetAsyncKeyState keylogger, Clipboard monitor, Remote Shell (cmd.exe), Hidden VNC, Password Recovery
Fähigkeiten & Verhalten
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC-Liste (1 Indikatoren)
IOC — NanoCore
# SHA256
4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
C2-Server (4 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| pk68.io | domain | 443 | HTTPS | inactive | — |
| 195.3.221.139 | ip | 4782 | TCP | inactive | RO |
| UNKNOWN_HOST | unknown | 8918 | TCP | inactive | — |
| 37.140.192.146 | ip | 7707 | TCP | sinkholed | UA |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.