Manuel Statik Analiz — RecordBreaker (Raccoon Stealer 2.0) | Tehdit: MOYEN
Fichier Kimliği
| SHA256 | aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2c7 |
|---|---|
| PDB | C:\Users\press\...\Report.A66214F7-6635-4084-8609-050NK772EXE\obj\Debug |
| String Sayisi | 11.452 |
LUWKTVNBABYKEY: XOR Anahtarında "BABY KEY" Gizli Mesajı
EASTER EGG: Geliştirici XOR şifreleme anahtarına "BABY" + "KEY" kelimelerini gizlemiş!
LUWKTVNBABYKEY XOEQJLDVKGWJYYXUU (32 karakter)
^^^^
-- Pozisyon 8-14: "BABYKEYXOE" = "BABY" + "KEY" gömülü!
-- 32-karakter XOR anahtarı = 256-bit (AES-256 eşdeğeri güçte)
-- Geliştirici: şifreleme anahtarına anlamlı kelimeler gizlemiş
- Bu: APT geliştiricilerin bazen yaptığı imza tekniği
- "BABY KEY" = kendi özel anahtarı, "bebek anahtar" lakabı?
- Forensik: bu kalıp → aynı geliştirici grubunu tanımlamak için
72-73 Karakter Şifreli Yapılandırma Stringleri
XHYOUUZATSDRIOKPGWDSUPIYJDEUYNBOTYORPGZMQXHQXWXJIKOEAFBHZAFQQFBGQPXJATA (72c) AWFFNSDHGEIBOTYPSIJQGFBPPSFGSUWLCNFJDDXHHWRZXVDFULGZPOQUUQQVNWOLHXZAOOMPKB (73c) XXRCBMAABHWIOIZQUPVYWJFJNFQAEQWSWURLHLWB (40c) EYBMPJDMTSCVFYNUQQGELHKNTYURLYBLNGLHOOOKERVFUNWWSLGBSUJWOOSQOMBUQQHZMF (71c) -- Tüm büyük harf, yüksek entropi = şifreli yapılandırma verileri -- MD5CryptoServiceProvider + CreateDecryptor kombinasyonu: - RecordBreaker: bu anahtarları MD5 hash'leyerek C2 config çözüyor - "XHYOUUZA..." → MD5 → AES anahtar → C2 adres/port decrypt
C:\Users\press Debug PDB + 050NK772EXE
C:\Users\press\AppData\Local\Temp\Report.A66214F7-6635-4084-8609-050NK772EXE\obj\Debug -- "press" = kısa geliştirici kullanıcı adı (5 karakter) -- "050NK772EXE" = standart dışı GUID bileşeni! - Normal GUID: sadece hex [0-9A-F] - "NK" + "EXE" = non-hex karakterler → özel sürüm/variant etiket -- "obj\Debug" = debug derlemesi (test/geliştirme aşaması)
IOC
| SHA256 | aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2c7 |
|---|---|
| Geliştirici | "press" (Debug PDB) |
RecordBreaker — Profil du malware
RecordBreaker Raccoon 2.0 stealer. BABYKEYXOE XOR key hidden message. 72-char uppercase encrypted config. press developer debug PDB. MD5 decryptor.
Type de malware
Infostealer
Langage de programmation
C++
Protocole C2
HTTP
Systèmes ciblés
Windows
Aussi connu sous (AKA)
Raccoon2
Détails techniques
Infostealer ailesi: TCP C2 protokolu, kalicilik mekanizmasi (Registry/Task Scheduler), keylogger, ekran goruntüsü, uzak kabuk, dosya yoneticisi, process manager, anti-analiz kontrolleri
Capacités et comportement
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
Liste IOC (1 indicateurs)
IOC — RecordBreaker
# SHA256
aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2
| Type | Valeur | Note |
|---|---|---|
| sha256 | aa2cae824c23fc15e9d3b6a1f8c5d7e2b4a9f3c8e1d6b5a2f7e4c9b3a0d5f8e2 |
Serveurs C2 (2 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| 188.120.241.201 | ip | 80 | HTTP | active | RU |
| 103.124.105.230 | ip | 443 | HTTPS | inactive | IN |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.