Derin PE Analizi — Go Tabanlı AsyncClientRAT | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 7dabe5d40c13c7c342b7182eaf7c63fbb5e326300316f6f6518b527d57e79ac8 |
|---|---|
| Dosya Adı | AsyncClient.exe |
| Boyut | ~4 MB (Go static binary) |
| Mimari | PE32+ x86-64, Go runtime |
writeKeyLog + KeyLogWriter: TLS Oturum Anahtarı Kaydı
TLS KEY LOGGING: Şifreli oturumların çözülebilmesi için anahtar kayıt!
writeKeyLog KeyLogWriter crypto/tls.(*Config).writeKeyLog -- Go crypto/tls paketinde `KeyLogWriter` alanı SSLKEYLOGFILE çıktısı üretir -- RAT: kendi TLS bağlantılarının oturum anahtarlarını diske yazar -- Amaç: C2 trafiğinin daha sonra analizi veya güvenlik aracı tespiti için: - Yakaladığı PCAP dosyaları + bu TLS anahtarları → kurbanın şifreli trafiğini çözme! - MitM proxy kurarak kurbanın HTTPS trafiğini gizlice okuma -- Wireshark (Pre)-Master-Secret log formatıyla uyumlu
"victim" Stringi: Kurban Takip Sistemi
victim -- Doğrudan "victim" = kurban kelimesi RAT kaynak kodunda sabit string -- Kurban ID üretim/takip mekanizması: her enfekte cihaza benzersiz victim ID -- C2'ye gönderilen heartbeat: victim_id + sistem bilgisi + durum -- RAT görevi: kurbanları C2 panelinde listelemek ve yönetmek
Proses Enjeksiyon API Seti
WriteProcessMemory -- hedef prosese kod yaz SetThreadContext -- iş parçacığı bağlamını değiştir (kod yeniden yönlendirme) GetThreadContext -- iş parçacığı durumunu oku VirtualAlloc -- hedef proseste bellek ayır VirtualProtect -- bellek korumasını değiştir (RWX) CreateFileMappingW -- bellek eşleme (process hollowing için) -- Tam process injection kapasitesi: Process Hollowing + Classic Injection -- Go'dan Windows API çağrısı: syscall.NewLazyDLL ile dinamik import
Kimlik Bilgisi Çalma
CryptUnprotectData -- DPAPI ile şifrelenmiş kimlik bilgilerini çöz
(Chrome, Edge, Outlook şifreleri DPAPI ile korunur)
PFXImportCertStore -- PFX/PKCS12 sertifika + özel anahtar içe aktar
NetUserGetInfo -- kullanıcı hesap bilgilerini al (domain + local)
GetUserNameExW -- tam kullanıcı adını al (UPN, sAMAccountName)
-- CryptUnprotectData: tarayıcı şifrelerini çözmek için standart yöntem
-- PFXImportCertStore: VPN, e-imza sertifikalarını çalmak için
Servis Kalıcılığı + Yan Hareket
CreateServiceW -- Windows servisi oluştur (yeniden başlatmada çalış) OpenSCManagerW -- Servis Kontrol Yöneticisini aç ControlService -- servisi başlat/durdur/sil QueryServiceStatus -- servis durumunu sorgula -- Kalıcılık: Windows servisi olarak kayıt → sistem her başlatıldığında çalışır -- SMB + dnsapi.dll: ağ içi yan hareket (Active Directory ortamları) -- TransmitFile: büyük veri aktarımı (dosya sızdırma için)
Kripto Kapasitesi
AES, ChaCha20, RC4, DES -- simetrik şifreleme RSA, ECDSA (P224/P256/P384/P521), Ed25519 -- asimetrik şifreleme HKDF, RIPEMD-160 -- anahtar türetme + hash -- Tam kriptografi kütüphanesi (Go stdlib) -- C2 iletişimi: minimum AES-256 veya ChaCha20 ile şifreli -- ECDSA Ed25519: kimlik doğrulama ve imzalama (beacon bütünlüğü)
Sistem Parmak İzi
GetComputerNameExW -- tam bilgisayar adı (NetBIOS, FQDN, DNS) IsWow64Process -- 32-bit mi 64-bit mi? GetDiskFreeSpaceExW -- disk kapasitesi (sandbox tespiti için) GetVolumePathNameW -- sürücü bilgisi Process32NextW -- çalışan prosesleri listele Module32FirstW -- yüklü DLL'leri listele EnumProcessModules -- proses modüllerini say -- Tam sistem parmak izi: kurban profili oluşturma -- Sandbox: disk genellikle küçük → GetDiskFreeSpaceExW ile tespit
IOC
| SHA256 | 7dabe5d40c13c7c342b7182eaf7c63fbb5e326300316f6f6518b527d57e79ac8 |
|---|---|
| Aile | AsyncClientGoRAT (Go tabanlı) |
GoRAT — Malware Profile
Go-based AsyncClientRAT. writeKeyLog TLS session key logging. victim string. WriteProcessMemory SetThreadContext process injection. CryptUnprotectData PFXImportCertStore credential theft. CreateServiceW persistence. SMB/DNS lateral movement.
Malware Type
RAT
Programming Language
Go
C2 Protocol
TLS/HTTPS
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — GoRAT
# SHA256
7dabe5d40c13c7c342b7182eaf7c63fbb5e326300316f6f6518b527d57e79ac8
| Type | Value | Note |
|---|---|---|
| sha256 | 7dabe5d40c13c7c342b7182eaf7c63fbb5e326300316f6f6518b527d57e79ac8 |