Manuel Statik Analiz (LLM Okumali) — NetWireRAT | Tehdit: YUKSEK
Arquivo Kimligi
| SHA256 | e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f |
|---|---|
| Orijinal Ad | Host.exe |
| Tamanho | 64.512 byte |
C2 Altyapisi — HTTP CONNECT Tunel
Binary icerisinde HTTP CONNECT protokolu ile C2 tünelleme kodu bulunmaktadir. NetWireRAT bu yöntemi kurumsal proxy'leri asmak icin kullanmaktadir.
FCONNECT %s:%d HTTP/1.0 <-- HTTP CONNECT format stringi Host: %s <-- HTTP Host header Connection: close
Hedeflenen Kimlik Bilgileri
| Hedef | Indicator |
|---|---|
| Pidgin IM | .purple\accounts.xml |
| POP3 Email | POP3 Password |
| IMAP Email | IMAP Password |
| HTTP Kimlik | HTTP Password |
| SMTP Kimlik | SMTP Password |
Bilinen NetWire Yetenekleri
- Uzaktan kabuk (remote shell)
- Keylogger
- Email istemcisi sifre calma
- Pidgin/IM sifre calma
- Arquivo yonetimi
- Registry islemleri
- HTTP CONNECT ile proxy atlama
IOC
| SHA256 | e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f |
|---|---|
| Arquivo | Host.exe |
| C2 Protokol | HTTP CONNECT tunel |
| C2 | Sifrelenmis config (dinamik analiz gerekli) |
NetWire — Perfil do malware
NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.
Tipo de malware
RAT
Linguagem de programação
C
Protocolo C2
TCP
Sistemas-alvo
Windows/Linux/macOS
Capacidades e comportamento
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Lista IOC (1 indicadores)
IOC — NetWire
# SHA256
e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f |