Manuel Statik Analiz — NanoCore RAT | Tehdit: YUKSEK

Arquivo Kimliği

SHA2564eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
Nome do arquivopk68.io.exe (C2 domain ismi!)
Tamanho207.872 byte
String Sayisi2.145

C2 Domain Nome do arquivonda

Tespit: C2 domain adı dosya ismine gömülmüş: pk68.io

ConfuserEx .NET Obfuskasyonu

#=qY9NY2gigPsj8X4CYx0UCT2vGlqkgsq6GuC2fWqP3Voc=
#=qtussAh$DpHFmu7s
-- ConfuserEx obfüskülenmiş .NET sembol isimleri (#=q prefix)

PBKDF2 + Bitcoin

Rfc2898DeriveBytes  -- AES şifreleme için PBKDF2 anahtar türetme
1abw3Kju8nMffXDIbl5na4zXqclsRK  -- NanoCore BTC cüzdanı
1CbaXqZpxrHWaxR5CiRO2OiaCLfsbSk -- NanoCore BTC cüzdanı #2

IOC

SHA2564eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
C2pk68.io (dosya adında)
BTC1abw3Kju8nMffXDIbl5na4zXqclsRK

NanoCore2 — Perfil do malware

NanoCore .NET RAT 2013. HP Jetstar scanner lure. Administrator PDB FqStwIZtCP. Plugin: keylogger webcam credential.

Tipo de malware
RAT
Linguagem de programação
C#/.NET
Protocolo C2
TCP
Sistemas-alvo
Kuresel

Capacidades e comportamento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (1 indicadores)

IOC — NanoCore2
# SHA256 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
TipoValorNota
sha256 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
Tags
nanocoreratpk68ioconfuserex-obfuscationrfc2898pbkdf2btc-wallet