Derin Analiz - ASUS Update JSON RAT | Tehdit: YUKSEK
Dosya Kimligi
| SHA256 | 624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372 |
|---|---|
| Boyut | 1,156,096 byte PE32 x86, entropi 7.91 (packed) |
| Kamufla | ASUS Update Setup / ASUSTeK Computer Inc. |
| Uretici (sahte) | Copyright 2019 ASUSTeK Computer Inc. |
ASUS Kamuflagesi
DIKKAT: Mesgru ASUS Update yazilimi olarak gizlenmis RAT!
Sahte versiyon bilgileri:\n ProductName: ASUS Update\n CompanyName: ASUSTeK Computer Inc.\n Copyright: Copyright 2019 ASUSTeK Computer Inc.\n OriginalFile: AsusUpdateSetup.exe\n\nCok dilli sahte hata mesajlari (gerci mesgru ASUS kodundan alinmis):\n Italyanca: "Installazione non riuscita. Il programma di installazione..."\n Norvekkce: "Installasjonsprogrammet for %1!s!"
JSON C2 Protokolu
C2: HTTP C2 protokolu JSON formatinda. cJSON kutuphane kullanimi.
C2 URL pattern: http://%ws%ws%s (runtime\x27da doldurulur)\n\nC2 mesaj tipleri:\n { "_hwid": "%s" } <- kimlik duyurusu\n { "_hwid": "%s", "_ping": "true" } <- canlilik kontrol\n { "_hwid": "%s", "_computer": "%s", "_username": "%s", "_os": "%s" }\n <- sistem bilgisi\n { "_hwid": "%s", "_cmd": "true" } <- komut istegi\n { "_hwid": "%s", "_cmd_done": "true", "_response": "%s" }\n <- komut yaniti\n { "_hwid": "%s", "_filemgr": "true" } <- dosya yonetici\n { "_hwid": "%s", "_filemgr_done": "true", "_response": "%s" }\n { "_hwid": "%s", "_fileupload": "true" } <- dosya yukle\n { "_hwid": "%s", "_uploadstatus": "true/false" } <- yukleme durumu\n { "_hwid": "%s", "_task": "true" } <- gorev al\n { "_hwid": "%s", "_del": "true" } <- kendini silTeknik Yetenekler
HTTP istekleri: URLDownloadToFileA, HttpOpenRequestW, HttpSendRequestW\n InternetOpenW, InternetConnectW, InternetReadFile\n\nDosya: ReadFile, WriteFile, DeleteFileA, GetTempPathA, PathFindExtensionA\n\nKomut: cmd.exe /c %s > %s <- ciktiyi dosyaya aktar\n\nJSON: cJSON kutuphane (cJSON_Version dahil edilmis)
IOC
| SHA256 | 624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372 |
|---|---|
| Kamufla | ASUS Update Setup / AsusUpdateSetup.exe |
| C2 Proto | HTTP JSON (cJSON) |
| Komutlar | hwid, ping, cmd, filemgr, fileupload, task, del |
AsusUpdateRAT — Malware Profile
ASUSTeK Computer Inc. guncellemesi olarak gizlenmis ozel RAT. JSON C2 protokolu (cJSON kutuphane). Komutlar: ping, cmd, filemgr, fileupload, del. Donanim kimlik (hwid) bazli takip. cmd.exe output yakalama. Dosya yonetici ve yukle ozellikleri.
Malware Type
RAT
Programming Language
C
C2 Protocol
HTTP
Target Systems
Kuresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — AsusUpdateRAT
# SHA256
624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372
| Type | Value | Note |
|---|---|---|
| sha256 | 624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372 |