Manuel Statik Analiz (LLM Okumali) — NanoCore RAT | Tehdit: KRITIK
Arquivo Kimligi
| SHA256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
|---|---|
| Orijinal Ad | pk68.io.exe |
| Tamanho | 207.872 byte |
| Dil | .NET Framework 2.0 |
Família Teyit Stringleri
NanoCore Client — Istemci uygulama adi NanoCore Client.exe — Dahili dosya adi NanoCore — Ana urun adi NanoCore.ClientPlugin — Plugin sistemi namespace'i
Teslimat
pk68.io.exe adi, kullanicilari mecrua bir yazilim adi ile kandiran bir teslimat alaninin (pk68.io) adini tasimaktadir. Bu durum, NanoCore'un sahte yazilim indirme siteleri uzerinden dagitildigina isaret etmektedir.
NanoCore RAT Yetenekleri
| Modul/Plugin | Yetenek |
|---|---|
| ClientPlugin | Moduler plugin mimarisi — yeni ozellikler eklenebilir |
| Keylogger | Tus kaydi ve clipboard izleme |
| Remote Shell | Komut satiri erisimi |
| Stealer | Tarayici ve email sifre calma |
| Screen | Uzak masaustu (RDP benzeri) |
| Webcam | Kamera erisimi |
| DDoS | Dagitik servis engelleme (bazi sürümlerde) |
IOC
| SHA256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
|---|---|
| Dagitim Domaini | pk68.io |
| C2 | TCP — sifrelenmis (dinamik analiz gerekli) |
NanoCore — Perfil do malware
NanoCore RAT .NET. HP scanner lures. FqStwIZtCP PDB path recurring. Plugin: GetConfig/SetConfig/conjugatePair.
Tipo de malware
RAT
Linguagem de programação
.NET
Protocolo C2
TCP
Sistemas-alvo
Windows
Detalhes técnicos
.NET, plugin tabanli (DLL eklentiler), AES-128 sifreleme, port TCP dinamik, Mutex rastgele GUID, GetAsyncKeyState keylogger, Clipboard monitor, Remote Shell (cmd.exe), Hidden VNC, Password Recovery
Capacidades e comportamento
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Lista IOC (1 indicadores)
IOC — NanoCore
# SHA256
4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
Servidores C2 (4 servidores registrados para esta família)
| Endereço | Tipo | Porta | Protocolo | Status | País |
|---|---|---|---|---|---|
| pk68.io | domain | 443 | HTTPS | inactive | — |
| 195.3.221.139 | ip | 4782 | TCP | inactive | RO |
| UNKNOWN_HOST | unknown | 8918 | TCP | inactive | — |
| 37.140.192.146 | ip | 7707 | TCP | sinkholed | UA |
Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.