Bu rehber, gerçek QuasarRAT örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 IP, 2 domain).

QuasarRAT Nedir?

QuasarRAT, ilk olarak 2014 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. .NET/C# programlama dili ile geliştirilmiş olup C2 iletişiminde TCP/AES protokolünü kullanmaktadır.

Quasar RAT, 2014 yilinda Türk asilli gelistirici tarafindan açik kaynak olarak yayımlanan, GitHub üzerinde varlığını sürdüren kapsamlı bir C# uzaktan erisim aracidir. AES-256 sifreleme ile güvenli iletisim kuran Quasar, HVNC (Hidden Virtual Network Computing), reverse proxy, remote shell, keylogger, password recovery ve dosya yönetimi özelliklerini barindirmaktadir. APT grupları (özellikle APT10,

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C# .NET, TLS/SSL sifreleme, TCP varsayilan port 4782, Remote Desktop, Process Manager, File Browser, Password Recovery, Reverse Proxy (SOCKS5), Keylogger, Registry Editor

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek QuasarRAT örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
1f2b22638ddb587f86f508aaffebc0f0eb1acdbcf783b92260e819d2be9cca2eSHA256QuasarRAT
2e6fbd142bd5622d2415adbb479d091d322e2f28e91ddc20e3f8b59a26b42a73SHA256QuasarRAT
2eac96249e00012e874d427c378cafae63f8ad2aac861121818ccfb4ccb19e90SHA256QuasarRAT
4cd298a3197f1283ef907976ac01b387dc9a44c93432c3a900ba511f48c03523SHA256QuasarRAT
509c2a5b7f12d2a67bfb9b697581fc9718c6ceba0575cc9e8490284fe4bdd6ceSHA256QuasarRAT
2553ce39d87b9e0ad58ee44878a09c0bMD5QuasarRAT
4e9d57c8b70e874ec714476e68eb40f6MD5QuasarRAT
917d599b4a954bb053d11233ad2aee86MD5QuasarRAT
0959ee1e998eae665e502999937152cdMD5QuasarRAT
f8de917e3675dd44f4efbc6ed02e984aMD5QuasarRAT

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — QuasarRAT Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen QuasarRAT C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

Domain Adresleri

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Güvenlik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.