Manuel Statik Analiz (LLM Okumali) — DarkComet RAT | Tehdit: HIGH

文件 Kimligi

SHA256b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
Orijinal Adf168pro.exe
大小762.880 byte (~745 KB)
MD5ef5fb48c0f5d26272002fb779dec0c47
DilDelphi (Pascal) — native Windows PE

C2 Altyapisi

DarkComet C2 adresi (TSocketHost/TSocketPort), binary icerisinde sifreli/gizli sekilde saklanmaktadir. 静态分析le host bilgisi elde edilemedi; dinamik analiz gerekmektedir.
C2 HostSifrelenmis konfigurasyonda
C2 PortSifrelenmis konfigurasyonda
Soket KomponentiTSocketHost / TSocketPort (Delphi network bileseni)
ProtokolTCP (DarkComet ozel protokol)

检测到的功能

Network ve C2

  • Delphi TIpSocket bileseni ile TCP baglantisi
  • WSAStartup / WSACleanup — soket baslangici
  • 0.0.0.0 bind (dinleme portu) / giden baglanti destegi

Proses ve Sistem

  • Proses listeleme: CreateToolhelp32Snapshot, Process32First/Next
  • Thread ve modul listeleme: Thread32First/Next, Module32First/Next
  • Bellek okuma: Toolhelp32ReadProcessMemory
  • Dinamik kutuphane yukleme: BTMemoryLoadLibrary (in-memory/yansimali yukleme)
  • Import tablosu olusturma: BuildImportTable

Kalicilik

  • SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKLM ve HKCU run kayitlari
  • MSConfig startup kaydinin gizlenmesi: SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Hosts 文件si Manipülasyonu

  • drivers\etc\hosts dosyasini degistirerek DNS yonlendirme
  • UAC etkinse hosts dosyasina erisim engellenmektedir (bu durumu bildirir)

IOC'lar

SHA256b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
MD5ef5fb48c0f5d26272002fb779dec0c47
文件f168pro.exe
C2Sifrelenmis (dinamik analiz gerekli)

Nasil Kaldirilir?

  1. Process sonlandirma: f168pro.exe veya atanmis process ismi olan islemi sonlandir
  2. Registry temizle: HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run altindaki supheli girisler
  3. MSConfig: Startup sekmesinden DarkComet baslatma kayitlarini kaldir
  4. Hosts dosyasi: C:\Windows\System32\drivers\etc\hosts icindeki yabanci girisleri temizle
  5. Tam AV tarama: Güncel imzali tarama yap

Teknik Ozet

DarkComet RAT — Delphi ile yazilmis tarihi ve hala aktif olan uzaktan erisim Trojanı. C2 konfigurasyonu sifrelenmis binary icerisinde saklandigindan statik analizle host/port bilgisi elde edilememistir. Tespit edilen yetenekler: proses listeleme, dinamik/yansimali DLL yukleme (BTMemoryLoadLibrary), hosts dosyasi manipülasyonu ve registry kalicilik mekanizmasi.

DarkComet — 恶意软件档案

DarkComet RAT Delphi tabanlı. Facebook.exe sosyal medya gizleme. IAMStreamConfig4 DirectShow webcam/mikrofon. MSConfig startup kalıcılık.

恶意软件类型
RAT
编程语言
Delphi
C2协议
TCP
目标系统
Windows

技术细节

Delphi, TCP custom protocol, keylogger (KEYLOGGER_PASSIVE/ACTIVE), screen capture, webcam/microphone, file manager, registry editor, remote shell, FTP-like file transfer

能力与行为

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC列表 (3 个指标)

IOC — DarkComet
# f168pro.exe # SHA256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1 # MD5 ef5fb48c0f5d26272002fb779dec0c47
类型备注
f168pro.exe
sha256 b9b052dfb2f19bf15aaba81f07861234f91a72a5c38d83c176a7a4dcdbb2e8c1
md5 ef5fb48c0f5d26272002fb779dec0c47

C2服务器 (该家族共有 1 台已记录服务器)

地址 类型 端口 协议 状态 国家
dkcomet.dedyn.io domain 1604 TCP inactive DE

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
darkcometratdelphibtmemoryhosts-manipulationregistrystatik-analiz