Manuel Statik Analiz (LLM Okumali) — WarzoneRAT (Ave Maria) | Tehdit: KRITIK

Datei Kimligi

SHA256fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
String Sayisi1.740

Familie Teyit Stringleri

StringAnlami
warzoneTURBOWarzoneRAT mutex adi — aile teyidi
Ring3 CRAT x64 (PDB)Ring3 = kullanici modu (kernel surucusu olmayan) RAT

Gelistirici Izi — PDB Analizi

Dikkat: Bu ornekte IKI farkli PDB yolu bulunmaktadir. Biri gercek gelistiriciyi isaret eder, digeri kasitli yaniltici (false flag) yerlestirilmistir.
Gercek PDBC:\Users\W7H64\source\repos\Ring3 CRAT x64\Ring3 CRAT x64\nope.pdb
Yaniltici PDBC:\Users\Vitali Kremez\Documents\MidgetPorn\workspace\MsgBox.exe

Vitali Kremez, tanimli bir guvenlik arastirmacisidir. Bu yolun binary'ye eklenmesi analistleri yaniltmaya yonelik kasitli bir false flag stratejisidir. Gercek gelistirici kimlik bilgisi: W7H64

RDP Etkinlestirme (fDenyTSConnections)

fDenyTSConnections   (HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server)

WarzoneRAT, hedef sistemde RDP'yi etkinlestirmek icin bu registry degerini 0'a ayarlar. Bu, saldirganin kalici uzaktan erisime sahip olmasini saglar.

NT API Kullanimı (Anti-Debug / Derin Sistem Erisimi)

NtQuerySystemInformation     — Sistem/surec bilgisi (sandbox tespiti icin kullanilabilir)
NtQueryDirectoryFile         — Dosya sistemi sorgulama
NtQueryValueKey              — Registry deger sorgulama
NtQueryKey                   — Registry anahtar sorgulama
VirtualAllocEx / VirtualProtect — Bellek ayirma/koruma (injection icin)
CreateThread                 — Thread olusturma

WarzoneRAT Yetenekleri

  • Uzaktan kabuk (reverse shell)
  • Keylogger
  • HVNC (Gizli VNC — kurban ekrani gorunmeden)
  • UAC bypass
  • RDP etkinlestirme
  • Datei yonetimi
  • Tarayici sifre calma
  • Webcam erisiimi
  • Process injection

IOC

SHA256fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
MutexwarzoneTURBO
PDB (Gercek)C:\Users\W7H64\source\repos\Ring3 CRAT x64\...\nope.pdb
RDP KayitfDenyTSConnections = 0
C2Sifrelenmis (dinamik analiz gerekli)

WarzoneRAT — Malware-Profil

WarzoneRAT Ave Maria RAT. 2026 itibariyla aktif. Tarih prefixli dagitim. Config karması 45A06E. Uclu anti-debug.

Malware-Typ
RAT
Programmiersprache
C++
C2-Protokoll
TCP
Zielsysteme
Windows
Auch bekannt als (AKA)
Ave Maria

Technische Details

C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli

Attribution / Bedrohungsakteur

Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.

Fähigkeiten & Verhalten

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC-Liste (1 Indikatoren)

IOC — WarzoneRAT
# SHA256 fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
TypWertBemerkung
sha256 fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01

C2-Server (2 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
185.216.36.143 ip 4500 TCP inactive BG
cloudflareprotected.xyz domain 5200 TCP inactive RU

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
warzoneratavemariaratring3mutex-warzoneTURBOrdp-aktiflestimepdb-W7H64nt-api