Manuel Statik Analiz — Havoc C2 Framework | Tehdit: YUKSEK
文件 Kimliği
| SHA256 | 95784518311ceddb11432968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 大小 | 1.143.296 byte (1.1MB) |
| String Sayisi | 1.035 |
VM Tespiti Stringleri
vboxguest -- VirtualBox Guest Additions sürücüsü (küçük harf!) vboxmouse -- VirtualBox fare sürücüsü vmware -- VMware hypervisor -- Bu stringleri driver/device listesinde arayarak VM tespiti -- Küçük harf: case-insensitive arama (büyük/küçük harf bypass'ı önler)
Tarayıcı İzleme API'leri
AuditBrowserFileOperationEvent -- Tarayıcı dosya işlemi audit AuditBrowserOperationEvent -- Tarayıcı genel işlem audit GetBrowserExtensionConfigur... -- Tarayıcı eklenti konfigürasyonu -- Tarayıcıdaki tüm işlemleri izler ve kaydeder -- Credential + cookie çalma için temel altyapı
Havoc C2 Hakkında
Havoc, 2022'de açık kaynak olarak yayımlanan ve Cobalt Strike alternatifi olarak konumlandırılan C2 framework'üdür. Shellcode loader, HTTP/HTTPS beacon, process injection, token impersonation özellikleri. Gerçek kırmızı takım araçları ve siber suçlular tarafından eşit derecede kullanılıyor.
IOC
| SHA256 | 95784518311ceddb11432968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| VM-detect | vboxguest / vboxmouse / vmware |
HavocC2 — 恶意软件档案
Havoc C2 framework 2022. vboxguest vboxmouse vmware VM triple detect. Global GUID mutex. DLP browser bypass modülü.
恶意软件类型
C2Framework
编程语言
C/C++
C2协议
HTTPS
目标系统
Windows/Linux
能力与行为
Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi
IOC列表 (1 个指标)
IOC — HavocC2
# SHA256
95784518311ceddb11432968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 95784518311ceddb11432968b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |