文件信息
| 属性 | 值 |
|---|---|
| SHA256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 |
| MD5 | c932d4c3f54e3902d57abff3c58e09b6 |
| SHA1 | |
| 文件名 | file (Go binary, NjRAT etiketli) |
| 大小 | 1,791,384 bytes |
| 架构 | x64 (amd64) |
| 编译日期 | 未知 |
| Packer | Tespit edilmedi |
| MB 首次发现 | 2026-06-29 |
| MB 标签 | exe, njrat, d52f85, dropped-by-amadey |
威胁概况
家族: NjRAT 分类: 高 置信度: LOW
⚠️ ÖNEMLİ NOT: Bu örnek MalwareBazaar tarafından "njrat" olarak etiketlenmişse de statik analiz Golang ile yazılmış bir binary olduğunu ortaya koymaktadır. Strings analizinde "Go build ID: YD5mHnHgmfz77..." tespit edilmiş, klasik VB.NET/VB6 NjRAT imzaları bulunamamıştır. "dropped-by-amadey" ve "d52f85" etiketleri, bu örneğin Amadey Loader kampanyasının parçası olarak dağıtıldığını göstermektedir. Binwalk analizi mcrypt Blowfish-448 şifrelenmiş veri bölümü tespit etmiştir — C2 konfigürasyonu büyük ihtimalle burada saklanmaktadır. Etiket yanıltıcı olabilir; dinamik analiz önerilir.
检测到的功能
- Remote Access (Amadey loader zincirinden)
- Ağ iletişimi (Go net paketi)
- Sistem bilgisi toplama
- C2 iletişimi (şifreli, tespit edilemedi)
Anti-Analiz Teknikleri
- Go binary obfuscation (rodata şifreli)
- MCrypt Blowfish-448 şifrelenmiş veri bölümü (binwalk tespiti)
Kalıcılık Mekanizmaları
Bilinmiyor (statik analizde tespit edilemedi)
Enjeksiyon Teknikleri
- 未知
C2 Sunucuları
IOC Listesi
| Tip | 值 |
|---|---|
| sha256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 |
| md5 | c932d4c3f54e3902d57abff3c58e09b6 |
| domain | activeSweepmheap.fr |
| domain | atomic.Com |
| domain | bisect.de |
| domain | bits.Tr |
| domain | bytealg.Com |
| domain | cmp.Com |
| domain | destroy.fr |
| domain | dict.br |
| domain | dict.Com |
| domain | dict.me |
| domain | doSlow.de |
| domain | eq.io |
| domain | eq.reflect.me |
| domain | eq.reflect.Me |
| domain | eq.ru |
| domain | eq.runtime.Fr |
| domain | eq.runtime.tr |
| domain | eq.syscall.WS |
| domain | exithook.ru |
| domain | exithook.Ru |
| domain | exithook.Run.de |
| domain | Find.de |
| domain | flush.de |
| domain | fmtsort.com |
| domain | freemheap.fr |
| domain | godebug.ru |
| domain | godebugs.Info |
| domain | godebug.update.de |
| domain | handleMethods.de |
| domain | hash.ru |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
NjRAT — 恶意软件档案
njRAT Bladabindi. Spanish cotizacion lure. get_Panel1 C2 panel. MENA + Latin America targeting.
技术细节
TCP port 1177 (varsayilan), XOR tabanlı iletisim sifreleme, .NET Framework 2.0+, Mutex: {GUID}, Registry Run key persistence, Keylogger (GetAsyncKeyState), clipboard monitor, screenshot, remote shell, remote camera
归因 / 威胁行为者
Arap dilli siber suc topluluklari, en cok MENA (Orta Dogu ve Kuzey Afrika) bolgesindeki gruplar. Yasama savasi donemi Suriyeli gruplar tarafindan da kullanilmistir.
能力与行为
IOC列表 (5 个指标)
# SHA256
a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677
# MD5
c932d4c3f54e3902d57abff3c58e09b6
# DOMAIN
eq.runtime.Fr
# DOMAIN
eq.runtime.tr
# DOMAIN
handleMethods.de
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677 | |
| md5 | c932d4c3f54e3902d57abff3c58e09b6 | |
| domain | eq.runtime.Fr | |
| domain | eq.runtime.tr | |
| domain | handleMethods.de |
C2服务器 (该家族共有 8 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| comodoca.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| comodoca.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。