Manuel Statik Analiz — XtremeRAT | Tehdit: MOYEN

Fichier Kimliği

SHA2567c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nom du fichierBackdoor.Win32.Androm.jxcj-7c4fe9b2 (AV imzası ile adlandırılmış)
Taille384.000 byte (384KB)
String Sayisi2.192

UnitServerConfigs: XtremeRAT Config Birimi

UnitServerConfigs
2UnitServerConfigs
-- XtremeRAT Delphi kaynak kodu biriminin adı!
-- "UnitServerConfigs" = XtremeRAT builder'da sunucu konfigürasyon birimi
-- Host/port/şifre config'i bu Delphi Unit içinde tutuluyor
-- "2UnitServerConfigs" = ikinci config birimi (yedek C2?)

C2 Substring + Mutex

5	c23      -- Tab karakteri ile ayrılmış c2 fragment
;{C2I       -- C2I = "C2 Identifier"?
CreateMutexW -- Mutex oluşturma (eşzamanlılık kontrolü)
GetVersionExW -- Windows versiyon kontrolü (XP/Vista/7/10 uyumluluk)

IOC

SHA2567c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
ConfigUnitServerConfigs (Delphi kaynak birimi)

XtremeRAT — Profil du malware

XtremeRAT Delphi RAT. UnitServerConfigs config unit. CreateMutexW. Backdoor.Win32.Androm imzasi. 2010dan beri aktif.

Type de malware
RAT
Langage de programmation
Delphi
Protocole C2
TCP
Systèmes ciblés
Küresel

Capacités et comportement

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Liste IOC (1 indicateurs)

IOC — XtremeRAT
# SHA256 7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValeurNote
sha256 7c4fe9b20190745c384000b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
xtremeratunitserverconfigs-unitc23-substringc2i-substringcreatemutexw-mutexgetversionbackdoor-androm