Manuel Statik Analiz (LLM Okumali) — LimeRAT v0.1.9.1 | Tehdit: HIGH

Fichier Kimligi

SHA256b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11
Orijinal Addetail.exe
Taille29.184 byte (~28.5 KB)
PE TipiPE32 — .NET Framework (VB.NET) assembly
VersiyonLimeRAT v0.1.9.1
DilMicrosoft Visual Basic .NET (MSVB)

C2 Altyapisi

C2 URL DOGRULANMIS (cleartext): https://hu88999.com/home/event/detail
Panel Domaini: hu88999.com
C2 URLhttps://hu88999.com/home/event/detail (HTTPS, cleartext tespit)
Domainhu88999.com — operatora ait suphelik domain
ProtokolHTTPS (Web-tabanlı C2 paneli)
Dropped Filehu88999.exe (AppData klasörüne kopyalanır)

Kalicilik Mekanizmalari

Scheduled Taskschtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr "..."
RegistrySoftware\Microsoft\Windows\CurrentVersion\Run\
Dropped%AppData%\hu88999.exe

Anti-Analiz Teknikleri

VMware Tespitivmware string varligi kontrolü
VirtualBox\vboxhook.dll yüklü mu kontrolü
SandboxieSbieDll.dll varligi kontrolü
Registry Anti-VMSystem\CurrentControlSet\Services\Disk\Enum\ — VM disk sürücü tespiti (Base64 gizlenmis)
Self-Deletecmd.exe /c ping 0 -n 2 & del — ping bekleme + kendini silme (Base64 gizlenmis)
Process KorumaRtlSetProcessIsCritical — proses sonlandirilirsa BSOD olusturur
AES SifrelemeRijndaelManaged — ag trafikgini sifreleme

Teknik Yetenekler

RAT Ozellikleri

  • Uzaktan kabuk yürütme
  • Ekran görüntüsü: CopyFromScreen
  • Clipboard izleme/hirsizlik: get_Clipboard
  • Fichier indirme: WebClient.DownloadFile
  • Fichier silme: DeleteFile
  • WMI sorgu: Win32_Processor, Win32_BIOS, Win32_VideoController
  • AV tespit: SELECT * FROM AntivirusProduct
  • Sistem bilgisi toplama: get_MachineName, get_OSFullName, get_UserName

Ek Tehdit Modulleri

  • Kripto Madenci: --donate-level= parametresi — gizli XMR madenciligi (Minning...)
  • DDoS/Flood: TCP/UDP flood modulu
  • USB Yayilma: USB sürücülere kopya yayar (PLUSB modulu)
  • PIN Hirsizligi: PLPIN modulu
  • Ransomware: Rans-Status kontrolü (sifreli/sifresiz dosya durumu)
  • Code Bypass: Regasm.exe ile UAC/AV atlama
  • Kod Yürütme: FromBase64String ile runtime kod cözme

Protokol Yapisi

LimeRAT, C2 ile HTTPS uzerinden haberlesir ve mesajlari |'N'| ve |'L'| ayiricilarla çerceveler. RijndaelManaged (AES) ile sifrelenmis trafik icin hardcoded Key ve IV binary icerisinde gizlenmistir.

Base64 kodlanmis gizlenmis satirlar:

  • U3lzdGVtX...System\CurrentControlSet\Services\Disk\Enum\ (anti-VM)
  • Y21kLmV4ZS...cmd.exe /c ping 0 -n 2 & del (self-delete)

IOC'lar

SHA256b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11
C2 URLhttps://hu88999.com/home/event/detail
C2 Domainhu88999.com
Droppedhu88999.exe (%AppData%)
TaskLimeRAT-Admin (schtasks ONLOGON HIGHEST)
RegistryHKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Versiyonv0.1.9.1

Nasil Kaldirilir?

  1. Ag engeli: hu88999.com domainini DNS/güvenlik duvarından engelle
  2. Scheduled Task sil: schtasks /delete /tn "LimeRAT-Admin" /f
  3. Registry temizle: HKCU\Software\Microsoft\Windows\CurrentVersion\Run altinda hu88999.exe girisini sil
  4. Fichier sil: %AppData%\hu88999.exe dosyasini bul ve sil
  5. Madenci kontrol: yüksek CPU kullanimi varsa madenci modulu aktif olabilir
  6. Tam AV tarama: güncel imzali tam sistem taramasi yap

Teknik Ozet

LimeRAT v0.1.9.1 — VB.NET ile gelistirilmis cok modüllü bir Uzak Erisim Trojanı. C2 olarak https://hu88999.com/home/event/detail adresini kullanan bu ornek (cleartext binary'de tespit edildi), ekran yakalama, clipboard hirsizligi, kripto madenciligi (XMR), DDoS/flood, USB yayilma, ransomware modulü ve gelismis anti-VM/anti-sandbox mekanizmalari icermektedir. Base64 gizlenme, RtlSetProcessIsCritical ile proses koruma ve AES (RijndaelManaged) ile ag trafikgini sifreleme kullanilmaktadir.

LimeRAT — Profil du malware

LimeRAT Hindistan Kalyan Matka piyango temasiyla dağıtılan. kalyanonlinematkaapp.in.net C2. Disk Enum VM tespiti. AES crypto.

Type de malware
RAT
Langage de programmation
C#/.NET
Protocole C2
TCP
Systèmes ciblés
Windows

Détails techniques

C# .NET, AES sifreleme, TCP, Plugin tabanlı: RAT + Miner + Ransomware + Stealer, Clipboard Bitcoin hijacker, Monero madenci dahili, UAC bypass, Anti-analysis

Capacités et comportement

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Liste IOC (6 indicateurs)

IOC — LimeRAT
# LimeRAT-Admin # SHA256 b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11 # DOMAIN hu88999.com # REGISTRY HKCU\Software\Microsoft\Windows\CurrentVersion\Run # FILEPATH hu88999.exe # URL https://hu88999.com/home/event/detail
TypeValeurNote
LimeRAT-Admin
sha256 b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11
domain hu88999.com
registry HKCU\Software\Microsoft\Windows\CurrentVersion\Run
filepath hu88999.exe
url https://hu88999.com/home/event/detail

Serveurs C2 (5 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
kalyanonlinematkaapp.in.net domain 443 HTTPS active —
kalyanonlinematkaapp.in.net domain 443 HTTPS active —
hu88999.com domain 443 HTTPS inactive —
45.90.222.109 ip 1177 TCP inactive DE
88.198.47.34 ip 4444 TCP inactive DE

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
limeratratvbnethu88999c2-urlcrypto-minerddosusb-spreadransomwareanti-vmstatik-analiz