Manuel Statik Analiz (LLM Okumali) — NanoCore RAT 1.x | Tehdit: CRITICAL

文件 Kimligi

SHA25613bab9f76e7c622ab1451b2e7eb9d48db4b4ed60f1a86e601aafbaaa4fa38b98
Orijinal AdScan#250226HPJetstar.exe
大小1.075.200 byte (~1.07 MB)
PE TipiPE32 (x86) — .NET Framework assembly
MD58b3d948676c373b378f16f6095f7fe5b
Sosyal MuhendislikHP Jetstar yazici tonu bildirimi — Kurumsal BT/ofis personeli hedefi

C2 Altyapisi

C2 Port: 8918 — Binary blob icerisinde cleartext olarak tespit edildi. NanoCore konfigurasyonu AES ile sifrelenmis embedded resource icinde bulundugundan C2 host adresi statik analizle elde edilemedi; sandbox/dinamik analiz gerektirir.
C2 Port8918/TCP (binary'den cleartext cikartiildi, yuksek guven)
C2 HostAES sifrelenmis NanoCore.Client.Settings kaynak blogu icerisinde
ProtokolTCP (NanoCore ozel protokol)

Sosyal Muhendislik Analizi

文件 adi Scan#250226HPJetstar.exe — HP marka Jetstar yazici tonu bildirimi kiligi. Kurumsal ofis ortamlarinda calisan hedefler, HP yazicisinden gelen tarama belgesi oldugunu zannederek calistirir. 2025 Subat tarihli numara eklenmesi (250226) gercekciligi artirmak icin kullanilmistir. Havayolu/seyahat sektoru ile yazici yoneticisi hedefleme kombinasyonu ozgun bir sosyal muhendislik vektoru teskil etmektedir.

Teknik Analiz

String Sayisi12.519 satir (strings -a -n 4 + UTF-16)
SifrelemeNanoCore.Client.Settings: AES ile sifrelenmis embedded resource
C2 Port8918 (binary veride acik metin)

NanoCore RAT Yetenekleri (Genel)

  • Uzaktan kabuk (cmd.exe/PowerShell)
  • 文件 yoneticisi: yukleme, indirme, silme, olusturma
  • Keylogger: tus kaydi + aktif pencere izleme
  • Ekran goru ntuleri (gercek zamanli)
  • Kamera erisimi
  • Proses yoneticisi: listeleme + sonlandirma
  • Plugin sistemi: modul yuklenebilir mimari
  • Port yonlendirme / uzak masaustu proxy
  • Clipboard hirsizligi
  • Parola kurtarma (tarayici + FTP istemcileri)
  • Script calistirma (VBScript, PowerShell)

NanoCore Konfigurasyonu (Sifrelenmis)

NanoCore 1.x ailesi konfigurasyonunu NanoCore.Client.Settings adi verilen embedded .NET kaynaginda AES-256/128 ile sifrelenmis sekilde saklar. Bu sekilde: Build ID, C2 Host, C2 Port, Reconnect Delay, KeyLogger aktiflik durumu, Mutex, grup adi gibi parametreler statik analize karsi korunur.

Bu sampledaki C2 portunun 8918 olmasi (varsayilan 4782'den farkli), operator tarafindan ozellestirilmis bir NanoCore yapilandirmasi oldugunu gostermektedir.

IOC'lar

SHA25613bab9f76e7c622ab1451b2e7eb9d48db4b4ed60f1a86e601aafbaaa4fa38b98
MD58b3d948676c373b378f16f6095f7fe5b
文件 AdiScan#250226HPJetstar.exe (yazici sosyal muhendislik)
C2 Port8918/TCP (NanoCore)

Nasil Kaldirilir?

  1. Ag engeli: Port 8918/TCP giden baglantilari guvenlik duvarindan kapat
  2. Process sonlandirma: .NET runtime altinda calisan suphelik islemi sonlandir
  3. Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run altinda suphelik kaydı sil
  4. 文件 sil: AppData altindaki NanoCore agent dosyasini bul ve sil
  5. Uygulama loglarini kontrol et: NanoCore ozel port 8918 uzerinden giden baglantilari izle
  6. Tam AV tarama: Guncel imzali antivirus ile tarama yap

Teknik Ozet

NanoCore RAT 1.x — HP Jetstar yazici tonu sosyal muhendisligi kullanarak dagitilan, kurumsal BT/ofis personeIini hedef alan .NET tabanli uzaktan erisim trojanı. C2 portu 8918/TCP (varsayilan 4782'den farkli — operator ozellestirilmis yapilan dirma) binary icinde cleartext saptanmistir. Konfigurasyonun tamami (C2 host, mutex, Build ID, grup) AES sifrelenmis NanoCore.Client.Settings embedded kaynaginda saklandigi icin statik analizle tam IOC listesi olusturulamlmistir. Dinamik analiz veya NanoCore config decryptor gerektirmektedir.

NanoCore — 恶意软件档案

NanoCore RAT .NET. HP scanner lures. FqStwIZtCP PDB path recurring. Plugin: GetConfig/SetConfig/conjugatePair.

恶意软件类型
RAT
编程语言
.NET
C2协议
TCP
目标系统
Windows

技术细节

.NET, plugin tabanli (DLL eklentiler), AES-128 sifreleme, port TCP dinamik, Mutex rastgele GUID, GetAsyncKeyState keylogger, Clipboard monitor, Remote Shell (cmd.exe), Hidden VNC, Password Recovery

能力与行为

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC列表 (4 个指标)

IOC — NanoCore
# 8918 # Scan#250226HPJetstar.exe # SHA256 13bab9f76e7c622ab1451b2e7eb9d48db4b4ed60f1a86e601aafbaaa4fa38b98 # MD5 8b3d948676c373b378f16f6095f7fe5b
类型备注
8918
Scan#250226HPJetstar.exe
sha256 13bab9f76e7c622ab1451b2e7eb9d48db4b4ed60f1a86e601aafbaaa4fa38b98
md5 8b3d948676c373b378f16f6095f7fe5b

C2服务器 (该家族共有 4 台已记录服务器)

地址 类型 端口 协议 状态 国家
pk68.io domain 443 HTTPS inactive —
195.3.221.139 ip 4782 TCP inactive RO
UNKNOWN_HOST unknown 8918 TCP inactive —
37.140.192.146 ip 7707 TCP sinkholed UA

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
nanocorerathp-jetstarprinter-lureport-8918aes-configstatik-analizkurumsal-hedef