Manuel Statik Analiz (LLM Okumali) — DarkComet RAT | Tehdit: HIGH
Arquivo Kimligi
SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
Orijinal Ad f168pro.exe
Tamanho 762.880 byte (~745 KB)
MD5 ef5fb48c0f5d26272002fb779dec0c47
Dil Delphi (Pascal) — native Windows PE
C2 Altyapisi
DarkComet C2 adresi (TSocketHost/TSocketPort), binary icerisinde sifreli/gizli sekilde saklanmaktadir.
Análise estáticale host bilgisi elde edilemedi; dinamik analiz gerekmektedir.
C2 Host Sifrelenmis konfigurasyonda
C2 Port Sifrelenmis konfigurasyonda
Soket Komponenti TSocketHost / TSocketPort (Delphi network bileseni)
Protokol TCP (DarkComet ozel protokol)
Capacidades detectadas
Network ve C2
Delphi TIpSocket bileseni ile TCP baglantisi
WSAStartup / WSACleanup — soket baslangici
0.0.0.0 bind (dinleme portu) / giden baglanti destegi
Proses ve Sistem
Proses listeleme: CreateToolhelp32Snapshot, Process32First/Next
Thread ve modul listeleme: Thread32First/Next, Module32First/Next
Bellek okuma: Toolhelp32ReadProcessMemory
Dinamik kutuphane yukleme: BTMemoryLoadLibrary (in-memory/yansimali yukleme)
Import tablosu olusturma: BuildImportTable
Kalicilik
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM ve HKCU run kayitlari
MSConfig startup kaydinin gizlenmesi: SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
Hosts Arquivosi Manipülasyonu
drivers\etc\hosts dosyasini degistirerek DNS yonlendirme
UAC etkinse hosts dosyasina erisim engellenmektedir (bu durumu bildirir)
IOC'lar
SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
MD5 ef5fb48c0f5d26272002fb779dec0c47
Arquivo f168pro.exe
C2 Sifrelenmis (dinamik analiz gerekli)
Nasil Kaldirilir?
Process sonlandirma: f168pro.exe veya atanmis process ismi olan islemi sonlandir
Registry temizle: HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run altindaki supheli girisler
MSConfig: Startup sekmesinden DarkComet baslatma kayitlarini kaldir
Hosts dosyasi: C:\Windows\System32\drivers\etc\hosts icindeki yabanci girisleri temizle
Tam AV tarama: Güncel imzali tarama yap
Teknik Ozet
DarkComet RAT — Delphi ile yazilmis tarihi ve hala aktif olan uzaktan erisim Trojanı.
C2 konfigurasyonu sifrelenmis binary icerisinde saklandigindan statik analizle host/port bilgisi
elde edilememistir. Tespit edilen yetenekler: proses listeleme, dinamik/yansimali DLL yukleme
(BTMemoryLoadLibrary), hosts dosyasi manipülasyonu ve registry kalicilik mekanizmasi.
DarkComet — Perfil do malware
DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.
Linguagem de programação
Delphi
Detalhes técnicos
Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer
Capacidades e comportamento
Lista IOC
(3 indicadores)
#
f168pro.exe
# SHA256
b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
# MD5
ef5fb48c0f5d26272002fb779dec0c47
Tipo Valor Nota
f168pro.exe
sha256
b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
md5
ef5fb48c0f5d26272002fb779dec0c47
Servidores C2
(1 servidores registrados para esta família)
Endereço
Tipo
Porta
Protocolo
Status
País
dkcomet.dedyn.io
domain
1604
TCP
inactive
DE
Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.