Manuel Statik Analiz (LLM Okumali) — NetWireRAT | Tehdit: YUKSEK

文件 Kimligi

SHA256e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
Orijinal AdHost.exe
大小64.512 byte

C2 Altyapisi — HTTP CONNECT Tunel

Binary icerisinde HTTP CONNECT protokolu ile C2 tünelleme kodu bulunmaktadir. NetWireRAT bu yöntemi kurumsal proxy'leri asmak icin kullanmaktadir.
FCONNECT %s:%d HTTP/1.0       <-- HTTP CONNECT format stringi
Host: %s                       <-- HTTP Host header
Connection: close

Hedeflenen Kimlik Bilgileri

HedefIndicator
Pidgin IM.purple\accounts.xml
POP3 EmailPOP3 Password
IMAP EmailIMAP Password
HTTP KimlikHTTP Password
SMTP KimlikSMTP Password

Bilinen NetWire Yetenekleri

  • Uzaktan kabuk (remote shell)
  • Keylogger
  • Email istemcisi sifre calma
  • Pidgin/IM sifre calma
  • 文件 yonetimi
  • Registry islemleri
  • HTTP CONNECT ile proxy atlama

IOC

SHA256e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
文件Host.exe
C2 ProtokolHTTP CONNECT tunel
C2Sifrelenmis config (dinamik analiz gerekli)

NetWire — 恶意软件档案

NetWireRAT. 88-hex ChaCha20 key+nonce. Embedded PCRE regex engine. Credential pattern matching.

恶意软件类型
RAT
编程语言
C
C2协议
TCP
目标系统
Windows/Linux/macOS

能力与行为

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC列表 (1 个指标)

IOC — NetWire
# SHA256 e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
类型备注
sha256 e4b2cfa2a3d348c8a316186ad65d0554804e9c18ee6e5d6a9cfa7f7ada4d7e4f
标签
netwirerathttp-connect-tunnelc2pidginemail-stealercredential-theft