Manuel Statik Analiz (LLM Okumali) — DarkComet RAT | Tehdit: HIGH

Fichier Kimligi

SHA256b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
Orijinal Adf168pro.exe
Taille762.880 byte (~745 KB)
MD5ef5fb48c0f5d26272002fb779dec0c47
DilDelphi (Pascal) — native Windows PE

C2 Altyapisi

DarkComet C2 adresi (TSocketHost/TSocketPort), binary icerisinde sifreli/gizli sekilde saklanmaktadir. Analyse statiquele host bilgisi elde edilemedi; dinamik analiz gerekmektedir.
C2 HostSifrelenmis konfigurasyonda
C2 PortSifrelenmis konfigurasyonda
Soket KomponentiTSocketHost / TSocketPort (Delphi network bileseni)
ProtokolTCP (DarkComet ozel protokol)

Capacités détectées

Network ve C2

  • Delphi TIpSocket bileseni ile TCP baglantisi
  • WSAStartup / WSACleanup — soket baslangici
  • 0.0.0.0 bind (dinleme portu) / giden baglanti destegi

Proses ve Sistem

  • Proses listeleme: CreateToolhelp32Snapshot, Process32First/Next
  • Thread ve modul listeleme: Thread32First/Next, Module32First/Next
  • Bellek okuma: Toolhelp32ReadProcessMemory
  • Dinamik kutuphane yukleme: BTMemoryLoadLibrary (in-memory/yansimali yukleme)
  • Import tablosu olusturma: BuildImportTable

Kalicilik

  • SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKLM ve HKCU run kayitlari
  • MSConfig startup kaydinin gizlenmesi: SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Hosts Fichiersi Manipülasyonu

  • drivers\etc\hosts dosyasini degistirerek DNS yonlendirme
  • UAC etkinse hosts dosyasina erisim engellenmektedir (bu durumu bildirir)

IOC'lar

SHA256b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
MD5ef5fb48c0f5d26272002fb779dec0c47
Fichierf168pro.exe
C2Sifrelenmis (dinamik analiz gerekli)

Nasil Kaldirilir?

  1. Process sonlandirma: f168pro.exe veya atanmis process ismi olan islemi sonlandir
  2. Registry temizle: HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run altindaki supheli girisler
  3. MSConfig: Startup sekmesinden DarkComet baslatma kayitlarini kaldir
  4. Hosts dosyasi: C:\Windows\System32\drivers\etc\hosts icindeki yabanci girisleri temizle
  5. Tam AV tarama: Güncel imzali tarama yap

Teknik Ozet

DarkComet RAT — Delphi ile yazilmis tarihi ve hala aktif olan uzaktan erisim Trojanı. C2 konfigurasyonu sifrelenmis binary icerisinde saklandigindan statik analizle host/port bilgisi elde edilememistir. Tespit edilen yetenekler: proses listeleme, dinamik/yansimali DLL yukleme (BTMemoryLoadLibrary), hosts dosyasi manipülasyonu ve registry kalicilik mekanizmasi.

DarkComet — Profil du malware

DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.

Type de malware
RAT
Langage de programmation
Delphi
Protocole C2
TCP
Systèmes ciblés
Windows

Détails techniques

Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer

Capacités et comportement

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Liste IOC (3 indicateurs)

IOC — DarkComet
# f168pro.exe # SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1 # MD5 ef5fb48c0f5d26272002fb779dec0c47
TypeValeurNote
f168pro.exe
sha256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
md5 ef5fb48c0f5d26272002fb779dec0c47

Serveurs C2 (1 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
dkcomet.dedyn.io domain 1604 TCP inactive DE

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
darkcometratdelphibtmemoryhosts-manipulationregistrystatik-analiz