Manuel Statik Analiz — BruteRatel C4 Beacon | Tehdit: YUKSEK

Fichier Kimliği

SHA256c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nom du fichiersteam_monitor_02F90000.dll
Taille696.320 byte (696KB DLL)
String Sayisi1.569 (yoğun obfuskasyon)

Steam Kılığı: steam_monitor

steam_monitor_02F90000.dll
-- "steam_monitor" = Steam ağ izleme DLL'i gibi görünüyor
-- Steam oyuncular arasında yaygın → şüphe uyandırmaz
-- Gerçek Steam DLL isimlerine benzer: steam_api64.dll, steamclient.dll
-- DLL sideloading: meşru Steam.exe → steam_monitor DLL'ini yükler

DLL İsmine Gömülü Bellek Adresi: 0x02F90000

Nadir Teknik: DLL dosya adında yükleme adresi!
steam_monitor_02F90000.dll
-- "02F90000" = 0x02F90000 = bellek adresi (hexadecimal)
-- DLL'nin belleğe yükleneceği baz adresi dosya adına kodlanmış!
-- Bu teknik PE ASLR'yi atlatmada kullanılır:
  → LoadLibraryEx ile belirli adrese yükleme
  → Kod obfuskasyonu bellek adresine bağımlı
-- BruteRatel: her beacon için farklı bellek adresli DLL üretiyor

BruteRatel C4 Hakkında

BruteRatel C4 (Badger) 2020'de Chetan Nayak tarafından geliştirilen ve 2022'de crack edilen özel C2 framework. Cobalt Strike'ın gelişmiş rakibi. EDR/AV bypass için üretilmiş. Process injection, memory evasion, HTTPS/SMB C2. North Korea (Lazarus) ve Rus APT grupları tarafından 2022'de kırık kopya kullanıldı. Steam DLL sideloading ile tespitten kaçınma.

IOC

SHA256c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
DLLsteam_monitor_02F90000.dll (bellek adresi: 0x02F90000)

BruteRatel — Profil du malware

Brute Ratel C4 red team C2. steam_monitor DLL injection. TJC20MG session token. Registry persistence.

Type de malware
C2Framework
Langage de programmation
C
Protocole C2
HTTPS
Systèmes ciblés
Windows
Aussi connu sous (AKA)
BRC4

Capacités et comportement

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

Liste IOC (1 indicateurs)

IOC — BruteRatel
# SHA256 c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValeurNote
sha256 c6433d9aafb4400c696320b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
bruteratelbruteratel-c4steam-monitor-02f90000-dllsteam-disguisememory-address-in-dll-namedll-load-addressisdebuggerpresent