Manuel Statik Analiz — QuasarRAT | Tehdit: 심각

파일 Kimliği

SHA2568df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
파일 이름prick.exe (geliştirici hakaret ismi!)
크기920.576 byte (899KB)
String Sayisi7.582

prick.exe: Geliştirici Hakaret 파일 이름

GELİŞTİRİCİ: Binary'e hakaret içeren ad verilmiş!
prick.exe
-- "prick" = İngilizce hakaret kelimesi (British slang)
-- Dridex3 analizi: "fromChrome9September9" + "boobs" + "bullshit" developer profanity
-- Bu örüntü: saldırganlar test binary'lerine hakaret/informal isim kullanıyor
-- "prick.exe": dağıtım sırasında değiştirilen ama PDB içinde saklanan orijinal ad
-- Geliştirici tavrı: hedefleri hafife alan rahat yaklaşım

SysNtQuery*2/3: Çoklu Doğrudan Syscall Paketleri

AV BYPASS: Doğrudan syscall ile EDR/AV hook'larını atlıyor!
SysNtQuerySystemInformation2    -- sistem bilgisi syscall (2. versiyon)
SysNtQueryInformationProcess2   -- süreç bilgisi syscall (2. versiyon)
SysNtQuerySystemInformation3    -- sistem bilgisi syscall (3. versiyon)
SysNtQueryInformationProcess3   -- süreç bilgisi syscall (3. versiyon)
SysNtQueryInformationThread     -- iş parçacığı bilgisi syscall
SysNtClose                      -- handle kapatma syscall
-- "SysNt" prefix = SysWhispers/D/Invoke tarzı doğrudan syscall wrapper'ı
-- Doğrudan syscall: ntdll.dll'e çağrı YAPMAZ → EDR hook'larını atlar!
-- "2" ve "3" versiyonları: farklı çağrı sözleşmeleri (x86/x64 kompatiblite)
-- QuasarRAT: userland API'leri tamamen bypass ediyor → stealth artışı
-- SysWhispers2: popüler syscall framework → QuasarRAT'a entegre edilmiş

SharpDX + StartScreenStreaming: DirectX Ekran Yakalama

EKRAN YAKALAMA: DirectX hızlandırmalı gerçek zamanlı ekran akışı!
costura.sharpdx.pdb.compressed
costura.sharpdx.direct3d11.pdb.compressed
costura.sharpdx.dxgi.pdb.compressed
<StartScreenStreaming>b__26_0
<StartScreenStreaming>b__18_0
<DisableScreensaver>b__22_0
-- SharpDX: C# DirectX wrapper kütüphanesi (ekran yakalama için!)
-- "SharpDX.Direct3D11" = DirectX 11 API bağlantısı
-- "SharpDX.DXGI" = DirectX Graphics Infrastructure (ekran kopyalama!)
-- "StartScreenStreaming" = canlı ekran akışını başlatır!
  - DXGI Desktop Duplication API: GPU ile doğrudan ekran kopyalama
  - AV'den kaçma: GPU operasyonu → CPU tabanlı AV taraması görmez
-- "DisableScreensaver" = ekran koruyucusunu devre dışı bırak
  - Saldırgan ekranı izlemeyi garantiliyor
-- costura: Costura.Fody ile SharpDX gömülü (bağımlılık olmadan çalışır)

DOMAIN_PASSWORD + GetPasswordsResponse: Kimlik Bilgisi Hırsızlığı

DOMAIN_VISIBLE_PASSWORD    -- Windows Kimlik Bilgisi Yöneticisi tipi
DOMAIN_PASSWORD            -- etki alanı şifre kimlik bilgisi tipi
<Passwords>b__0            -- şifre koleksiyonu lambda
<GetPasswords>b__0         -- şifre alma lambda
GetPasswordsResponse       -- C2'ye şifre yanıtı
GetKeyloggerLogsDirectoryResponse  -- keylogger log dizini yanıtı
-- "DOMAIN_PASSWORD": Windows CredMan CRED_TYPE_DOMAIN_PASSWORD enum değeri
-- QuasarRAT: Windows Credential Manager etki alanı şifrelerini çalıyor
-- "DOMAIN_VISIBLE_PASSWORD": görünür parola (daha zayıf şifreleme)
-- GetKeyloggerLogsDirectoryResponse: keylogger log dizinini C2'ye gönder
-- Tam yetenek: ekran yakalama + keylogger + şifre hırsızlığı + domain creds

IOC

SHA2568df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
파일 이름prick.exe
KütüphaneSharpDX.Direct3D11 + DXGI (Costura gömülü)
SyscallSysNtQuerySystemInformation2/3, SysNtQueryInformationProcess2/3

QuasarRAT — 악성코드 프로필

QuasarRAT acik kaynak uzaktan erisim araci. v1.4.0 istemcisi Quasar.Client.Recovery ile Chrome/Firefox/Edge/Yandex/WinSCP/FileZilla kimlik bilgilerini kurtarir. PGma.System.MouseKeyHook ile fare+klavye izlemesi yapar. Protobuf-net ile sifreli C2 iletisimi saglar. schtasks ile kalicilik.

악성코드 유형
RAT
프로그래밍 언어
C#/.NET
C2 프로토콜
TCP/SSL
대상 시스템
Windows
다른 이름 (AKA)
xRAT

기술 세부 정보

C# .NET, TLS/SSL sifreleme, TCP varsayilan port 4782, Remote Desktop, Process Manager, File Browser, Password Recovery, Reverse Proxy (SOCKS5), Keylogger, Registry Editor

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — QuasarRAT
# SHA256 8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
유형메모
sha256 8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0

C2 서버 (이 패밀리에 대해 5개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
api.ipify.org domain 443 HTTPS active &mdash;
ipwho.is domain 443 HTTPS active &mdash;
hitclub.paris domain &mdash; HTTP active &mdash;
77.91.124.165 ip 4782 TCP inactive &mdash;
192.210.179.210 ip 4782 TCP inactive US

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
quasarratquasar-ratprick-exe-developer-profanitysysntsyscall-direct-syscall-bypasssharpdx-startscreenstreaming-directx-screen-capturedomain-password-credential-theftdomain-visible-passwordgetkeyloggerlogsdirectorydisablescreensavercostura-sharpdx-embedded