Manuel Statik Analiz — RemcosRAT | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | 3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Nom du fichier | SCAN DOC LOI.r00 (taranmış belge + Fransız hukuk terimi!) |
| Taille | 1.295.510 byte (1.24MB) |
| String Sayisi | 6.102 |
SCAN DOC LOI.r00: Fransızca Lür + Çok Parçalı RAR
LÜR: Fransızca hukuk belgesi taranmış dosya taktiği!
SCAN DOC LOI.r00
-- "SCAN DOC" = taranmış belge (sözde faks/tarayıcıdan gelen)
-- "LOI" = Fransızca "loi" = kanun/yasa! (İngilizce: law)
VEYA İngilizce LOI = Letter of Intent (niyet mektubu)
-- ".r00" = çok parçalı RAR arşivinin İLK parçası!
→ .r00 + .r01 + .r02 + ... + .rar = tam arşiv
-- Çok parçalı RAR: tek payload → parçalara böl → tespiti zorlaştır
-- Fransız/Fransızca konuşan hedef: Belgium, Luxembourg, Switzerland, France
Beş C2 Substring
1c2Zk -- 1 c2 Z k
|Zc2&$j% -- pipe Z c2 & $ j yüzde
(7<#8{c2z~ -- parantez 7 küçüktür # 8 süslü c2 z tilde
9:LC2 -- 9 iki nokta L C2
$/Zrc2 -- $ / Z r c2
IOC
| SHA256 | 3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | SCAN DOC LOI.r00 (Fransızca) |
| Format | Çok parçalı RAR (.r00) |
Remcos — Profil du malware
RemcosRAT. SCAN DOC LOI.r00 multipart RAR. French LOI law lure. Five c2 substrings. Breaking-Security developer.
Type de malware
RAT
Langage de programmation
C++
Protocole C2
TCP/SSL
Systèmes ciblés
Windows
Aussi connu sous (AKA)
RemcosRAT
Capacités et comportement
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Liste IOC (1 indicateurs)
IOC — Remcos
# SHA256
3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Valeur | Note |
|---|---|---|
| sha256 | 3d57334d08deff6d1295510b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
Serveurs C2 (3 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| BreakingSecurity.net | domain | — | HTTP | active | — |
| pro.ip-api.com | domain | — | HTTP | active | — |
| UNKNOWN_HOST | unknown | 20343 | TCP | inactive | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.