Manuel Statik Analiz (LLM Okumali) — LimeRAT v0.1.9.1 | Tehdit: HIGH

文件 Kimligi

SHA256b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11
Orijinal Addetail.exe
大小29.184 byte (~28.5 KB)
PE TipiPE32 — .NET Framework (VB.NET) assembly
VersiyonLimeRAT v0.1.9.1
DilMicrosoft Visual Basic .NET (MSVB)

C2 Altyapisi

C2 URL DOGRULANMIS (cleartext): https://hu88999.com/home/event/detail
Panel Domaini: hu88999.com
C2 URLhttps://hu88999.com/home/event/detail (HTTPS, cleartext tespit)
Domainhu88999.com — operatora ait suphelik domain
ProtokolHTTPS (Web-tabanlı C2 paneli)
Dropped Filehu88999.exe (AppData klasörüne kopyalanır)

Kalicilik Mekanizmalari

Scheduled Taskschtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr "..."
RegistrySoftware\Microsoft\Windows\CurrentVersion\Run\
Dropped%AppData%\hu88999.exe

Anti-Analiz Teknikleri

VMware Tespitivmware string varligi kontrolü
VirtualBox\vboxhook.dll yüklü mu kontrolü
SandboxieSbieDll.dll varligi kontrolü
Registry Anti-VMSystem\CurrentControlSet\Services\Disk\Enum\ — VM disk sürücü tespiti (Base64 gizlenmis)
Self-Deletecmd.exe /c ping 0 -n 2 & del — ping bekleme + kendini silme (Base64 gizlenmis)
Process KorumaRtlSetProcessIsCritical — proses sonlandirilirsa BSOD olusturur
AES SifrelemeRijndaelManaged — ag trafikgini sifreleme

Teknik Yetenekler

RAT Ozellikleri

  • Uzaktan kabuk yürütme
  • Ekran görüntüsü: CopyFromScreen
  • Clipboard izleme/hirsizlik: get_Clipboard
  • 文件 indirme: WebClient.DownloadFile
  • 文件 silme: DeleteFile
  • WMI sorgu: Win32_Processor, Win32_BIOS, Win32_VideoController
  • AV tespit: SELECT * FROM AntivirusProduct
  • Sistem bilgisi toplama: get_MachineName, get_OSFullName, get_UserName

Ek Tehdit Modulleri

  • Kripto Madenci: --donate-level= parametresi — gizli XMR madenciligi (Minning...)
  • DDoS/Flood: TCP/UDP flood modulu
  • USB Yayilma: USB sürücülere kopya yayar (PLUSB modulu)
  • PIN Hirsizligi: PLPIN modulu
  • Ransomware: Rans-Status kontrolü (sifreli/sifresiz dosya durumu)
  • Code Bypass: Regasm.exe ile UAC/AV atlama
  • Kod Yürütme: FromBase64String ile runtime kod cözme

Protokol Yapisi

LimeRAT, C2 ile HTTPS uzerinden haberlesir ve mesajlari |'N'| ve |'L'| ayiricilarla çerceveler. RijndaelManaged (AES) ile sifrelenmis trafik icin hardcoded Key ve IV binary icerisinde gizlenmistir.

Base64 kodlanmis gizlenmis satirlar:

  • U3lzdGVtX...System\CurrentControlSet\Services\Disk\Enum\ (anti-VM)
  • Y21kLmV4ZS...cmd.exe /c ping 0 -n 2 & del (self-delete)

IOC'lar

SHA256b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11
C2 URLhttps://hu88999.com/home/event/detail
C2 Domainhu88999.com
Droppedhu88999.exe (%AppData%)
TaskLimeRAT-Admin (schtasks ONLOGON HIGHEST)
RegistryHKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Versiyonv0.1.9.1

Nasil Kaldirilir?

  1. Ag engeli: hu88999.com domainini DNS/güvenlik duvarından engelle
  2. Scheduled Task sil: schtasks /delete /tn "LimeRAT-Admin" /f
  3. Registry temizle: HKCU\Software\Microsoft\Windows\CurrentVersion\Run altinda hu88999.exe girisini sil
  4. 文件 sil: %AppData%\hu88999.exe dosyasini bul ve sil
  5. Madenci kontrol: yüksek CPU kullanimi varsa madenci modulu aktif olabilir
  6. Tam AV tarama: güncel imzali tam sistem taramasi yap

Teknik Ozet

LimeRAT v0.1.9.1 — VB.NET ile gelistirilmis cok modüllü bir Uzak Erisim Trojanı. C2 olarak https://hu88999.com/home/event/detail adresini kullanan bu ornek (cleartext binary'de tespit edildi), ekran yakalama, clipboard hirsizligi, kripto madenciligi (XMR), DDoS/flood, USB yayilma, ransomware modulü ve gelismis anti-VM/anti-sandbox mekanizmalari icermektedir. Base64 gizlenme, RtlSetProcessIsCritical ile proses koruma ve AES (RijndaelManaged) ile ag trafikgini sifreleme kullanilmaktadir.

LimeRAT — 恶意软件档案

LimeRAT Hindistan Kalyan Matka piyango temasiyla dağıtılan. kalyanonlinematkaapp.in.net C2. Disk Enum VM tespiti. AES crypto.

恶意软件类型
RAT
编程语言
C#/.NET
C2协议
TCP
目标系统
Windows

技术细节

C# .NET, AES sifreleme, TCP, Plugin tabanlı: RAT + Miner + Ransomware + Stealer, Clipboard Bitcoin hijacker, Monero madenci dahili, UAC bypass, Anti-analysis

能力与行为

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC列表 (6 个指标)

IOC — LimeRAT
# LimeRAT-Admin # SHA256 b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11 # DOMAIN hu88999.com # REGISTRY HKCU\Software\Microsoft\Windows\CurrentVersion\Run # FILEPATH hu88999.exe # URL https://hu88999.com/home/event/detail
类型备注
LimeRAT-Admin
sha256 b29cf2fc83f2c5871baf6d54b9593dec38a09208818482ec5f94947745ca7f11
domain hu88999.com
registry HKCU\Software\Microsoft\Windows\CurrentVersion\Run
filepath hu88999.exe
url https://hu88999.com/home/event/detail

C2服务器 (该家族共有 5 台已记录服务器)

地址 类型 端口 协议 状态 国家
kalyanonlinematkaapp.in.net domain 443 HTTPS active —
kalyanonlinematkaapp.in.net domain 443 HTTPS active —
hu88999.com domain 443 HTTPS inactive —
45.90.222.109 ip 1177 TCP inactive DE
88.198.47.34 ip 4444 TCP inactive DE

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
limeratratvbnethu88999c2-urlcrypto-minerddosusb-spreadransomwareanti-vmstatik-analiz