Manuel Statik Analiz — XtremeRAT | Tehdit: MOYEN
Fichier Kimliği
| SHA256 | 7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Nom du fichier | Backdoor.Win32.Androm.jxcj-7c4fe9b2 (AV imzası ile adlandırılmış) |
| Taille | 384.000 byte (384KB) |
| String Sayisi | 2.192 |
UnitServerConfigs: XtremeRAT Config Birimi
UnitServerConfigs 2UnitServerConfigs -- XtremeRAT Delphi kaynak kodu biriminin adı! -- "UnitServerConfigs" = XtremeRAT builder'da sunucu konfigürasyon birimi -- Host/port/şifre config'i bu Delphi Unit içinde tutuluyor -- "2UnitServerConfigs" = ikinci config birimi (yedek C2?)
C2 Substring + Mutex
5 c23 -- Tab karakteri ile ayrılmış c2 fragment
;{C2I -- C2I = "C2 Identifier"?
CreateMutexW -- Mutex oluşturma (eşzamanlılık kontrolü)
GetVersionExW -- Windows versiyon kontrolü (XP/Vista/7/10 uyumluluk)
IOC
| SHA256 | 7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Config | UnitServerConfigs (Delphi kaynak birimi) |
XtremeRAT — Profil du malware
XtremeRAT Delphi RAT. UnitServerConfigs config unit. CreateMutexW. Backdoor.Win32.Androm imzasi. 2010dan beri aktif.
Type de malware
RAT
Langage de programmation
Delphi
Protocole C2
TCP
Systèmes ciblés
Küresel
Capacités et comportement
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Liste IOC (1 indicateurs)
IOC — XtremeRAT
# SHA256
7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Valeur | Note |
|---|---|---|
| sha256 | 7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |