Manuel Statik Analiz (LLM Okumali) — NetWireRAT | Tehdit: YUKSEK

Datei Kimligi

SHA256e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
Orijinal AdHost.exe
Größe64.512 byte

C2 Altyapisi — HTTP CONNECT Tunel

Binary icerisinde HTTP CONNECT protokolu ile C2 tünelleme kodu bulunmaktadir. NetWireRAT bu yöntemi kurumsal proxy'leri asmak icin kullanmaktadir.
FCONNECT %s:%d HTTP/1.0       <-- HTTP CONNECT format stringi
Host: %s                       <-- HTTP Host header
Connection: close

Hedeflenen Kimlik Bilgileri

HedefIndicator
Pidgin IM.purple\accounts.xml
POP3 EmailPOP3 Password
IMAP EmailIMAP Password
HTTP KimlikHTTP Password
SMTP KimlikSMTP Password

Bilinen NetWire Yetenekleri

  • Uzaktan kabuk (remote shell)
  • Keylogger
  • Email istemcisi sifre calma
  • Pidgin/IM sifre calma
  • Datei yonetimi
  • Registry islemleri
  • HTTP CONNECT ile proxy atlama

IOC

SHA256e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
DateiHost.exe
C2 ProtokolHTTP CONNECT tunel
C2Sifrelenmis config (dinamik analiz gerekli)

NetWire — Malware-Profil

NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.

Malware-Typ
RAT
Programmiersprache
C
C2-Protokoll
TCP
Zielsysteme
Windows/Linux/macOS

Fähigkeiten & Verhalten

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC-Liste (1 Indikatoren)

IOC — NetWire
# SHA256 e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
TypWertBemerkung
sha256 e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
Tags
netwirerathttp-connect-tunnelc2pidginemail-stealercredential-theft