Manuel Statik Analiz — Havoc C2 Framework | Tehdit: KRITIK

Arquivo Kimliği

SHA25695784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Tamanho1.143.296 byte (Havoc C2 implant/agent)
String Sayisi1.035

VM Tespit Stringleri

Sandbox Kaçınma: Havoc C2 implantı VirtualBox ve VMware tespiti yapıyor!
vboxguest   -- VirtualBox konuk ilave sürücüsü (Guest Additions)
vboxmouse   -- VirtualBox fare sürücüsü
vmware      -- VMware platform tespiti
-- Sanal makine veya sandbox ortamı tespit edilirse çalışmayı durduruyor
-- EDR/AV sandbox analizi atlama tekniği

Havoc C2 Hakkında

Havoc, 2022'de C ile yazılmış ve ücretsiz olarak yayınlanan açık kaynak red team C2 framework'üdür. Cobalt Strike ve BruteRatel C4'ün alternatifi. Process injection, token impersonation, in-memory PE loading, sleep obfuscation gibi gelişmiş post-exploitation teknikleri içerir. Iran, Rusya ve Kuzey Kore bağlantılı APT gruplarının Havoc'u kötüye kullandığı raporlanmıştır.

IOC

SHA25695784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
VM Kaçınmavboxguest, vboxmouse, vmware
Kullanıcıİran, Rusya, DPRK APT grupları (kötüye kullanım)

HavocC2 — Perfil do malware

Havoc C2 framework 2022. vboxguest vboxmouse vmware VM triple detect. Global GUID mutex. DLP browser bypass modülü.

Tipo de malware
C2Framework
Linguagem de programação
C/C++
Protocolo C2
HTTPS
Sistemas-alvo
Windows/Linux

Capacidades e comportamento

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

Lista IOC (1 indicadores)

IOC — HavocC2
# SHA256 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TipoValorNota
sha256 95784518311ceddb1143296b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
havoc-c2vboxguestvboxmousevmware-detectvm-detectionred-teamc2-frameworkcobalt-alternative