Etiket Notu: MalwareBazaar bu ornegi redline olarak etiketledi,
ancak string analizi AsyncRAT aglama protokolunu (AsyncClient, SendSync,
KeepAlive, Ping, ActivatePong, SslClient, TcpClient) onayladi. Bu ornek muhtemelen
AsyncRAT stub'i veya AsyncRAT'i kullanan ozel bir C# RAT'tir.
"SAMPLE CATALOGS AND DRAWING.exe" isimiyle kurumsal kullanicilari hedef alan bu kucuk (47 KB)
AsyncRAT stub'i, dahilen Stub.exe olarak etiketlenmis ve hubscore.io C2 adresine
baglanmaktadir. Standart AsyncRAT ag protokolunu (SslStream, KeepAlive, Ping/Pong) kullanmakla
birlikte, kayit defteri yolunu ters cevirme ve schtasks ile yuksek yetkili kalici gorev kurma gibi
ek kachilma teknikleri icermektedir. AV ve VM varligini WMI sorgulariyla tespit eder, tespit edilirse
durmaktadir. Cok katmanli AES+RSA sifreleme kullanarak C2 portunu ve diger config'i saklar.
AsyncRAT — 악성코드 프로필
AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.
악성코드 유형
RAT
프로그래밍 언어
.NET C#
C2 프로토콜
TCP/SSL
대상 시스템
Windows
다른 이름 (AKA)
AsyncClient
기술 세부 정보
C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu
귀속 / 위협 행위자
Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.