Manuel Statik Analiz (LLM Okumali) — NanoCore RAT | Tehdit: KRITIK
文件 Kimligi
| SHA256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
|---|---|
| Orijinal Ad | pk68.io.exe |
| 大小 | 207.872 byte |
| Dil | .NET Framework 2.0 |
家族 Teyit Stringleri
NanoCore Client — Istemci uygulama adi NanoCore Client.exe — Dahili dosya adi NanoCore — Ana urun adi NanoCore.ClientPlugin — Plugin sistemi namespace'i
Teslimat
pk68.io.exe adi, kullanicilari mecrua bir yazilim adi ile kandiran bir teslimat alaninin (pk68.io) adini tasimaktadir. Bu durum, NanoCore'un sahte yazilim indirme siteleri uzerinden dagitildigina isaret etmektedir.
NanoCore RAT Yetenekleri
| Modul/Plugin | Yetenek |
|---|---|
| ClientPlugin | Moduler plugin mimarisi — yeni ozellikler eklenebilir |
| Keylogger | Tus kaydi ve clipboard izleme |
| Remote Shell | Komut satiri erisimi |
| Stealer | Tarayici ve email sifre calma |
| Screen | Uzak masaustu (RDP benzeri) |
| Webcam | Kamera erisimi |
| DDoS | Dagitik servis engelleme (bazi sürümlerde) |
IOC
| SHA256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
|---|---|
| Dagitim Domaini | pk68.io |
| C2 | TCP — sifrelenmis (dinamik analiz gerekli) |
NanoCore — 恶意软件档案
NanoCore RAT .NET. HP scanner lures. FqStwIZtCP PDB path recurring. Plugin: GetConfig/SetConfig/conjugatePair.
恶意软件类型
RAT
编程语言
.NET
C2协议
TCP
目标系统
Windows
技术细节
.NET, plugin tabanli (DLL eklentiler), AES-128 sifreleme, port TCP dinamik, Mutex rastgele GUID, GetAsyncKeyState keylogger, Clipboard monitor, Remote Shell (cmd.exe), Hidden VNC, Password Recovery
能力与行为
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC列表 (1 个指标)
IOC — NanoCore
# SHA256
4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 4eca71001daaabb1740b8f30978d43d778bfb2c3e4d5f6a7b8c9d0e1f2a3b4c5 |
C2服务器 (该家族共有 4 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| pk68.io | domain | 443 | HTTPS | inactive | — |
| 195.3.221.139 | ip | 4782 | TCP | inactive | RO |
| UNKNOWN_HOST | unknown | 8918 | TCP | inactive | — |
| 37.140.192.146 | ip | 7707 | TCP | sinkholed | UA |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。