Manuel Statik Analiz — QuasarRAT | Tehdit: KRITIK
파일 Kimliği
| SHA256 | 8df4cc8b9c69f457a8d86e4c6d2a692a06b576aebb3c5f2a9b8e1d4c7f0a3b6 |
|---|---|
| 파일 이름 | prick.exe |
| 크기 | 920.576 byte |
| String Sayisi | 7.582 |
Syswhispers-Tarzı NT Syscall Obfuskasyonu
Kritik Teknik: NT API doğrudan sistem çağrısı ile AV/EDR hook bypass!
SysNtQuerySystemInformation2 -- NtQuerySystemInformation direkt syscall (Syswhispers2 imzası!) SysNtQueryInformationProcess2 -- NtQueryInformationProcess direkt syscall -- "Sys" prefix = EDR user-mode hook'larını atlayan direct syscall varyantları
AES Şifreleme Anahtarı
F2173046D565A390F2EA722F09E8C2D93396E6D63EB8E1A453E53E97707D6982 -- 32-byte hex AES-256 şifreleme anahtarı
Tarayıcı Cookie + Credential Hırsızlığı
<GetCookies>b__0 -- .NET LINQ lambda - Chrome cookie çalma Login Data -- Chrome credential DB dosyası origin_url -- Chrome login URL kaydı
IP Geolocation Keşfi
https://api.ipify.org/ -- Kurban IP adresi tespiti https://ipwho.is/ -- Coğrafi konum belirleme
Süreç Enjeksiyonu
WriteProcessMemory -- Başka bir sürece kod yazma (process injection)
IOC
| SHA256 | 8df4cc8b9c69f457a8d86e4c6d2a692a06b576aebb3c5f2a9b8e1d4c7f0a3b6 |
|---|---|
| AES Key | F2173046D565A390F2EA722F09E8C2D9... |
| Teknik | Syswhispers2 direct syscall |
QuasarRAT2 — 악성코드 프로필
QuasarRAT .NET 2014 MaxXor. prick.exe. SysWhispers v2 AV bypass. GoUWUjY mutex. PEB walking. amyuni driver download.
악성코드 유형
RAT
프로그래밍 언어
C#/.NET
C2 프로토콜
TCP
대상 시스템
Kuresel
기능 및 동작
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC 목록 (2 개 지표)
IOC — QuasarRAT2
# SHA256
f2173046d565a390f2ea722f09e8c2d93396e6d63eb8e1a453e53e97707d6982
# DOMAIN
ipify.org
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | f2173046d565a390f2ea722f09e8c2d93396e6d63eb8e1a453e53e97707d6982 | |
| domain | ipify.org |