Manuel Statik Analiz (LLM Okumali) — AsyncRAT Stub / Business-Lure | Tehdit: CRITICAL
Etiket Notu: MalwareBazaar bu ornegi redline olarak etiketledi, ancak string analizi AsyncRAT aglama protokolunu (AsyncClient, SendSync, KeepAlive, Ping, ActivatePong, SslClient, TcpClient) onayladi. Bu ornek muhtemelen AsyncRAT stub'i veya AsyncRAT'i kullanan ozel bir C# RAT'tir.

파일 Kimligi

SHA256ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
Orijinal AdSAMPLE CATALOGS AND DRAWING.exe
Dahili AdStub.exe
크기48.640 byte (~47 KB)
RuntimeC# / .NET Framework 4 Client Profile
Versiyon1.0.0.0 (tum alanlarda)

Sosyal Muhendislik

HedefKurumsal kullanicilari (tedarik/satis departmanlari)
Kimlik"SAMPLE CATALOGS AND DRAWING" — katalog/cizim talebi gibi gozuken is e-postasi
DagitimE-posta eki (icin talep kimligine sahip exe)

C2 Altyapisi

C2 Domaini: hubscore.io
C2 Domainhubscore.io (Statik string — gizleme yok)
ProtokolTCP + TLS (SSL stream) — AsyncRAT agla katmani
PortEncrypted config icerisinde (runtime'da cozuluyor)

Ag Protokolu (AsyncRAT)

  • AsyncClient — C2 baglanti sinifi (AsyncRAT kaynak kodundan)
  • SendSync / IsConnected / KeepAlive — baglanti durum takibi
  • Ping / ActivatePong — heartbeat mekanizmasi
  • SslClient / SslStream — TLS/SSL sarmalanmis C2 iletisimi
  • HeaderSize / Buffer / Offset — paket yapisi

Persistence Teknikleri

  • Task Scheduler: schtasks /create /f /sc onlogon /rl highest — logon'da en yuksek yetkiyle calisma
  • Registry Run Key: String ters cevrili olarak saklanmis: \nuR\noisreVtnerruC\swodniW\tfosorciM\erawtfoS = Software\Microsoft\Windows\CurrentVersion\Run
  • AppData persistence: %AppData% yoluna kopyalanma

Anti-Analiz Teknikleri

TeknikDetay
VM Tespiti (WMI)Select * from Win32_ComputerSystem — Manufacturer: vmware/VirtualBox/VIRTUAL kontrol
Sandboxie TespitiSbieDll.dll varligi kontrol
Debugger TespitiCheckRemoteDebuggerPresent
String GizlemeRegistry yolunu tersine cevirerek saklamis
Self-DeleteBatch dosya: timeout 3 > NUL; DEL "..." /f /q
Process KorumaRtlSetProcessIsCritical — sonlandirma engelliyor

Sifreleme / Kriptografi

  • AES (AesCryptoServiceProvider), RSA (RSACryptoServiceProvider), HMAC-SHA256 — cok katmanli sifreleme
  • Gizli yapilandirilmis config bloklari: birden fazla RSA sifreli base64 blob
  • Gizlenmis config icinde C2 adresi, port, mutex isimleri bulunuyor

AV Altyapi Bilgi Toplama

  • Select * from AntivirusProduct — kurulu AV listesi
  • displayName — her AV ismi topluyor
  • 64-bit/32-bit OS tespiti

IOC'lar

SHA256ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
C2 Domainhubscore.io
Dahili AdStub.exe
PersistenceHKCU\Software\Microsoft\Windows\CurrentVersion\Run + schtasks

Teknik Ozet

"SAMPLE CATALOGS AND DRAWING.exe" isimiyle kurumsal kullanicilari hedef alan bu kucuk (47 KB) AsyncRAT stub'i, dahilen Stub.exe olarak etiketlenmis ve hubscore.io C2 adresine baglanmaktadir. Standart AsyncRAT ag protokolunu (SslStream, KeepAlive, Ping/Pong) kullanmakla birlikte, kayit defteri yolunu ters cevirme ve schtasks ile yuksek yetkili kalici gorev kurma gibi ek kachilma teknikleri icermektedir. AV ve VM varligini WMI sorgulariyla tespit eder, tespit edilirse durmaktadir. Cok katmanli AES+RSA sifreleme kullanarak C2 portunu ve diger config'i saklar.

AsyncRAT — 악성코드 프로필

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

악성코드 유형
RAT
프로그래밍 언어
.NET C#
C2 프로토콜
TCP/SSL
대상 시스템
Windows
다른 이름 (AKA)
AsyncClient

기술 세부 정보

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

귀속 / 위협 행위자

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (4 개 지표)

IOC — AsyncRAT
# SHA256 ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1 # DOMAIN hubscore.io # REGISTRY HKCU\Software\Microsoft\Windows\CurrentVersion\Run # FILEPATH %AppData%\Stub.exe
유형메모
sha256 ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
domain hubscore.io
registry HKCU\Software\Microsoft\Windows\CurrentVersion\Run
filepath %AppData%\Stub.exe

C2 서버 (이 패밀리에 대해 8개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
asyncratstubc2-hubscore-iobusiness-lurekatalogschtasksanti-vmstatik-analiztls