PE32 (x86 GUI) — C++ ile yazilmis yerel Windows uygulamasi
MD5
496caac1fa6369e93cb48970f72e26da
Versiyon
Remcos v7.1.0
Yazar
BreakingSecurity.net
Sections
6 (.text, .rdata, .data, .rsrc, .reloc, + TLS)
Entropi
6.60 (normal)
C2 Altyapisi
C2 Port: 20343 — SETTINGS binary blobunda tespit edildi (cleartext port degeri).
C2 host adresi ayni binary blob icerisinde sifrelenmis durumda; statik analizle elde edilemedi.
Fichier silme: AppData, Temp ve System32 altindaki rmclient.exe dosyasini silin
Ag engeli: Port 20343 TCP giden baglantilari guvvenlik duvari kurallarindan kapatin
AV tarama: Guncel imzalarla tam sistem taramasi yapin
Teknik Ozet
Remcos RAT v7.1.0, C++ ile gelistirilmis, ticari olarak satilan ancak yayginca kotu amacli
kullanilan bir Uzak Erisim Trojan'idir (BreakingSecurity.net). Bu ornek, TLS 1.3 ile sifrelenmis
C2 iletisimi (port 20343), kapsamli keylogger, tarayici sifre/cerez hirsizligi, webcam erisimi,
proses injection (process hollowing), UAC bypass ve watchdog kalicilik mekanizmasini icerir.
C2 host adresi SETTINGS kaynaginda XOR/kodlanmis durumda olup sandbox analizi gerekmektedir.
Dropped agent dosyasi rmclient.exe olarak kaydedilmektedir.
Remcos — Profil du malware
RemcosRAT. SCAN DOC LOI.r00 multipart RAR. French LOI law lure. Five c2 substrings. Breaking-Security developer.
Serveurs C2
(3 serveurs enregistrés pour cette famille)
Adresse
Type
Port
Protocole
Statut
Pays
BreakingSecurity.net
domain
—
HTTP
active
—
pro.ip-api.com
domain
—
HTTP
active
—
UNKNOWN_HOST
unknown
20343
TCP
inactive
—
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.