Manuel Statik Analiz — AresRAT (Python/Linux) | Tehdit: YUKSEK

Fichier Kimliği

SHA256d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Nom du fichiermozella (Mozilla taklidi — Firefox değil!)
TipELF Linux Binary
Taille6.346.808 byte (6.3MB)
String Sayisi27.688

Python PyInstaller Embedding

Teknik: Python RAT, PyInstaller ile tek ELF binary'e dönüştürülmüş!
PyImport_AddModule     -- Python C API: modül ekleme
PyImport_ExecCodeModule -- Python C API: kod modülü çalıştırma
PyImport_ImportModule  -- Python C API: modül importu
-- PyInstaller frozen binary imzaları

Python Kütüphane Referansları

requests.cookies(   -- Python requests kütüphanesi cookie hırsızlığı
http.cookies(       -- Python stdlib cookie modülü

AresRAT Hakkında

AresRAT, GitHub'da yayınlanan açık kaynak Python tabanlı cross-platform RAT'tır. Linux, Windows ve macOS'u hedefler. Keylogger, reverse shell, dosya transfer, ekran görüntüsü yeteneklerine sahiptir. PyInstaller ile tek binary'e derlenebilir. "mozella" adı Firefox'u taklit etmek için seçilmiştir.

IOC

SHA256d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Kamuflajmozella (Firefox taklidi)
TipPyInstaller frozen Python ELF

AresRAT — Profil du malware

AresRAT acik kaynak Python RAT. PyInstaller ELF. Linux/Windows/macOS. Keylogger, reverse shell.

Type de malware
RAT
Langage de programmation
Python
Protocole C2
HTTP/TCP
Systèmes ciblés
Kuresel/Linux

Capacités et comportement

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Liste IOC (1 indicateurs)

IOC — AresRAT
# SHA256 d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
TypeValeurNote
sha256 d77dd11f63c978adb3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5a8d1e4
Tags
aresratpyinstallerlinux-elfpython-embeddedmozellarequests-library