Manuel Statik Analiz — NanoCore RAT | Tehdit: YUKSEK

文件 Kimliği

SHA2564eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
文件名pk68.io.exe (C2 domain ismi!)
大小207.872 byte
String Sayisi2.145

C2 Domain 文件名nda

Tespit: C2 domain adı dosya ismine gömülmüş: pk68.io

ConfuserEx .NET Obfuskasyonu

#=qY9NY2gigPsj8X4CYx0UCT2vGlqkgsq6GuC2fWqP3Voc=
#=qtussAh$DpHFmu7s
-- ConfuserEx obfüskülenmiş .NET sembol isimleri (#=q prefix)

PBKDF2 + Bitcoin

Rfc2898DeriveBytes  -- AES şifreleme için PBKDF2 anahtar türetme
1abw3Kju8nMffXDIbl5na4zXqclsRK  -- NanoCore BTC cüzdanı
1CbaXqZpxrHWaxR5CiRO2OiaCLfsbSk -- NanoCore BTC cüzdanı #2

IOC

SHA2564eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
C2pk68.io (dosya adında)
BTC1abw3Kju8nMffXDIbl5na4zXqclsRK

NanoCore2 — 恶意软件档案

NanoCore .NET RAT 2013. HP Jetstar scanner lure. Administrator PDB FqStwIZtCP. Plugin: keylogger webcam credential.

恶意软件类型
RAT
编程语言
C#/.NET
C2协议
TCP
目标系统
Kuresel

能力与行为

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC列表 (1 个指标)

IOC — NanoCore2
# SHA256 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
类型备注
sha256 4eca71001daaabb1e2b5c8a4f7d0e3b6c9f2a5d8e1b4c7f0a3d6b9c2f5e8a1b4
标签
nanocoreratpk68ioconfuserex-obfuscationrfc2898pbkdf2btc-wallet