Manuel Statik Analiz — NetWire | Tehdit: YUKSEK
Arquivo Kimliği
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Nome do arquivo | x00f01750.exe (hash önek ismi — OPSEC) |
| Tamanho | 1.462.026 byte (1.4MB) |
| String Sayisi | 5.945 |
CoSetProxyBlanket: COM Kimlik Doğrulama Bypass
COM BYPASS: WMI güvenlik kanalı devre dışı!
CoSetProxyBlanket (ole32.dll) -- COM proxy güvenlik ayarı değiştirme -- Tipik kullanım: CoSetProxyBlanket(pSvc, RPC_C_AUTHN_WINNT, ..., EOAC_NONE) -- "EOAC_NONE" = kimlik doğrulama yetenekleri: HİÇBİR -- Etki: WMI sorgularında authentication bypass -- NetWire: WMI üzerinden sistem bilgisi toplar → CoSetProxyBlanket ile engellenmeden -- Teknik: WMI + DCOM aracılığıyla sysinfo/process/network bilgisi
Hash Önek Nome do arquivo
x00f01750.exe -- "x" + kısaltılmış hash = anonim isim -- Görev yöneticisinde anlamsız, akılda kalmayan isim -- Her kurban için farklı hash → imza tabanlı AV'yi atlatır
IOC
| SHA256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Teknik | CoSetProxyBlanket EOAC_NONE COM bypass |
NetWire — Perfil do malware
NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.
Tipo de malware
RAT
Linguagem de programação
C
Protocolo C2
TCP
Sistemas-alvo
Windows/Linux/macOS
Capacidades e comportamento
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Lista IOC (1 indicadores)
IOC — NetWire
# SHA256
00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 00f01750994214b51462026b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |