Manuel Statik Analiz — AteraAgent (Meşru Araç Kötüye Kullanım) | Tehdit: YUKSEK

文件 Kimliği

SHA25660241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
文件名hmlineear.msi (rastgele isim — AteraAgent MSI yükleyicisi)
大小8.597.504 byte (8.2MB MSI)
String Sayisi42.630

Meşru RMM Aracı Saldırısı: Living Off The Land

UYARI: AteraAgent = Meşru yazılım, ama saldırganlar tarafından kötüye kullanılıyor!
AteraAgent (Atera Networks) = Yasal IT yönetim aracı
-- Sistem yöneticileri tarafından BT desteği için kullanılıyor
-- Uzaktan dosya yönetimi, komut çalıştırma, süreç izleme
-- Antivirüs tarafından ENGELLENMEZ (imzalı, meşru yazılım!)
-- Saldırganlar: kurban makineye izinsiz AteraAgent kurar
   → 7/24 uzaktan erişim elde eder
   → AV/EDR alarm vermez
   → Kalıcılık: Windows Service olarak kurulur

MSI Yükleyici Detayları

hmlineear.msi — AteraAgent MSI paketi
-- "hmlineear" = rastgele karıştırılmış isim (kimlik gizleme)
-- İçindeki domain: ps.atera.com/installers/dotnet/NDP472-K...
-- .NET 4.7.2 gereksinimi: ps.atera.com'dan indirir
-- Kayıt URL: dot.net/v1/dotnet-install.ps1 (Microsoft .NET installer)
-- AteraAgent customer ID gömülü MSI içine → hangi saldırgan hesabına bağlanacağı

IOC

SHA25660241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
YöntemMeşru RMM aracı (AteraAgent) yetkisiz kurulum
TehlikeAV bypass + kalıcı uzaktan erişim

AteraRAT — 恶意软件档案

AteraAgent meşru RMM araci kötüye kullanim. Living off the land. AV bypass. hmlineear.msi randomize isim. ps.atera.com üzerinden kurulum.

恶意软件类型
RAT
编程语言
Commercial RMM
C2协议
HTTPS RMM
目标系统
Küresel

能力与行为

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC列表 (1 个指标)

IOC — AteraRAT
# SHA256 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
类型备注
sha256 60241999f0f2d24b8597504b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
标签
ateraagentlegitimate-rmm-abusehmlineear-msidot-net-ps1-installerunauthorized-remote-accessliving-off-the-landrmm-trojanps-atera-com