Manuel Statik Analiz (LLM Okumali) — WarzoneRAT (Ave Maria) | Tehdit: KRITIK

Arquivo Kimligi

SHA256fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
String Sayisi1.740

Família Teyit Stringleri

StringAnlami
warzoneTURBOWarzoneRAT mutex adi — aile teyidi
Ring3 CRAT x64 (PDB)Ring3 = kullanici modu (kernel surucusu olmayan) RAT

Gelistirici Izi — PDB Analizi

Dikkat: Bu ornekte IKI farkli PDB yolu bulunmaktadir. Biri gercek gelistiriciyi isaret eder, digeri kasitli yaniltici (false flag) yerlestirilmistir.
Gercek PDBC:\Users\W7H64\source\repos\Ring3 CRAT x64\Ring3 CRAT x64\nope.pdb
Yaniltici PDBC:\Users\Vitali Kremez\Documents\MidgetPorn\workspace\MsgBox.exe

Vitali Kremez, tanimli bir guvenlik arastirmacisidir. Bu yolun binary'ye eklenmesi analistleri yaniltmaya yonelik kasitli bir false flag stratejisidir. Gercek gelistirici kimlik bilgisi: W7H64

RDP Etkinlestirme (fDenyTSConnections)

fDenyTSConnections   (HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server)

WarzoneRAT, hedef sistemde RDP'yi etkinlestirmek icin bu registry degerini 0'a ayarlar. Bu, saldirganin kalici uzaktan erisime sahip olmasini saglar.

NT API Kullanimı (Anti-Debug / Derin Sistem Erisimi)

NtQuerySystemInformation     — Sistem/surec bilgisi (sandbox tespiti icin kullanilabilir)
NtQueryDirectoryFile         — Dosya sistemi sorgulama
NtQueryValueKey              — Registry deger sorgulama
NtQueryKey                   — Registry anahtar sorgulama
VirtualAllocEx / VirtualProtect — Bellek ayirma/koruma (injection icin)
CreateThread                 — Thread olusturma

WarzoneRAT Yetenekleri

  • Uzaktan kabuk (reverse shell)
  • Keylogger
  • HVNC (Gizli VNC — kurban ekrani gorunmeden)
  • UAC bypass
  • RDP etkinlestirme
  • Arquivo yonetimi
  • Tarayici sifre calma
  • Webcam erisiimi
  • Process injection

IOC

SHA256fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
MutexwarzoneTURBO
PDB (Gercek)C:\Users\W7H64\source\repos\Ring3 CRAT x64\...\nope.pdb
RDP KayitfDenyTSConnections = 0
C2Sifrelenmis (dinamik analiz gerekli)

WarzoneRAT — Perfil do malware

WarzoneRAT Ave Maria RAT. 2026 itibariyla aktif. Tarih prefixli dagitim. Config karması 45A06E. Uclu anti-debug.

Tipo de malware
RAT
Linguagem de programação
C++
Protocolo C2
TCP
Sistemas-alvo
Windows
Também conhecido como (AKA)
Ave Maria

Detalhes técnicos

C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli

Atribuição / Ator da ameaça

Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.

Capacidades e comportamento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (1 indicadores)

IOC — WarzoneRAT
# SHA256 fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01
TipoValorNota
sha256 fee959ff12e4ac5df67164ed83565a768d12812bb5e4d21e4e0f1bc3f7ce2a01

Servidores C2 (2 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
185.216.36.143 ip 4500 TCP inactive BG
cloudflareprotected.xyz domain 5200 TCP inactive RU

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
warzoneratavemariaratring3mutex-warzoneTURBOrdp-aktiflestimepdb-W7H64nt-api