Bu rehber, gerçek QuasarRAT örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 IP, 2 domain).

QuasarRAT Nedir?

QuasarRAT, ilk olarak 2014 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. .NET/C# programlama dili ile geliştirilmiş olup C2 iletişiminde TCP/AES protokolünü kullanmaktadır.

Quasar RAT, 2014 yilinda 유형k asilli gelistirici tarafindan açik kaynak olarak yayımlanan, GitHub üzerinde varlığını sürdüren kapsamlı bir C# uzaktan erisim aracidir. AES-256 sifreleme ile güvenli iletisim kuran Quasar, HVNC (Hidden Virtual Network Computing), reverse proxy, remote shell, keylogger, password recovery ve dosya yönetimi özelliklerini barindirmaktadir. APT grupları (özellikle APT10,

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C# .NET, TLS/SSL sifreleme, TCP varsayilan port 4782, Remote Desktop, Process Manager, File Browser, Password Recovery, Reverse Proxy (SOCKS5), Keylogger, Registry Editor

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • Webcam/mikrofon izinsiz etkinleşiyor, tuş vuruşları gecikiyor

파일 Hash 값leri (Antivirüs Tespiti İçin)

Gerçek QuasarRAT örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash 값i유형Not
1f2b22638ddb587f86f508aaffebc0f0eb1acdbcf783b92260e819d2be9cca2eSHA256QuasarRAT
2e6fbd142bd5622d2415adbb479d091d322e2f28e91ddc20e3f8b59a26b42a73SHA256QuasarRAT
2eac96249e00012e874d427c378cafae63f8ad2aac861121818ccfb4ccb19e90SHA256QuasarRAT
4cd298a3197f1283ef907976ac01b387dc9a44c93432c3a900ba511f48c03523SHA256QuasarRAT
509c2a5b7f12d2a67bfb9b697581fc9718c6ceba0575cc9e8490284fe4bdd6ceSHA256QuasarRAT
2553ce39d87b9e0ad58ee44878a09c0bMD5QuasarRAT
4e9d57c8b70e874ec714476e68eb40f6MD5QuasarRAT
917d599b4a954bb053d11233ad2aee86MD5QuasarRAT
0959ee1e998eae665e502999937152cdMD5QuasarRAT
f8de917e3675dd44f4efbc6ed02e984aMD5QuasarRAT

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — 신뢰도li Modda Başlatın

Windows'u Ağ Destekli 신뢰도li Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "신뢰도li önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — QuasarRAT Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes
  • RKill
  • ESET Online Scanner

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen QuasarRAT C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

  • 77.91.124.165
  • 192.210.179.210

Domain Adresleri

  • quasarmanager.ddns.net
  • quickrat.hopto.org

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

신뢰도lik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

  • Tüm hesap şifrelerini farklı bir cihazdan değiştirin
  • Webcam ve mikrofonu fiziksel olarak kapatın (bant veya kapak)
  • Banka ekstrelerinizi şüpheli işlemler için inceleyin
  • Sosyal çevrenizi kimlik avı girişimlerine karşı uyarın
  • Kurumsal ortamda IT güvenlik ekibine ve CERT-TR'ye (0850 404 1177) bildirin

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • 신뢰도ilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

QuasarRAT — 악성코드 프로필

QuasarRAT acik kaynak uzaktan erisim araci. v1.4.0 istemcisi Quasar.Client.Recovery ile Chrome/Firefox/Edge/Yandex/WinSCP/FileZilla kimlik bilgilerini kurtarir. PGma.System.MouseKeyHook ile fare+klavye izlemesi yapar. Protobuf-net ile sifreli C2 iletisimi saglar. schtasks ile kalicilik.

악성코드 유형
RAT
프로그래밍 언어
C#/.NET
C2 프로토콜
TCP/SSL
대상 시스템
Windows
다른 이름 (AKA)
xRAT

기술 세부 정보

C# .NET, TLS/SSL sifreleme, TCP varsayilan port 4782, Remote Desktop, Process Manager, File Browser, Password Recovery, Reverse Proxy (SOCKS5), Keylogger, Registry Editor

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

C2 서버 (이 패밀리에 대해 5개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
api.ipify.org domain 443 HTTPS active —
ipwho.is domain 443 HTTPS active —
hitclub.paris domain — HTTP active —
77.91.124.165 ip 4782 TCP inactive —
192.210.179.210 ip 4782 TCP inactive US

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
temizlikkaldırmaquasarratratvirüs temizleme