Manuel Statik Analiz (LLM Okumali) — AsyncRAT Stub / Business-Lure | Tehdit: CRITICAL
Etiket Notu: MalwareBazaar bu ornegi redline olarak etiketledi, ancak string analizi AsyncRAT aglama protokolunu (AsyncClient, SendSync, KeepAlive, Ping, ActivatePong, SslClient, TcpClient) onayladi. Bu ornek muhtemelen AsyncRAT stub'i veya AsyncRAT'i kullanan ozel bir C# RAT'tir.

Dosya Kimligi

SHA256ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
Orijinal AdSAMPLE CATALOGS AND DRAWING.exe
Dahili AdStub.exe
Boyut48.640 byte (~47 KB)
RuntimeC# / .NET Framework 4 Client Profile
Versiyon1.0.0.0 (tum alanlarda)

Sosyal Muhendislik

HedefKurumsal kullanicilari (tedarik/satis departmanlari)
Kimlik"SAMPLE CATALOGS AND DRAWING" — katalog/cizim talebi gibi gozuken is e-postasi
DagitimE-posta eki (icin talep kimligine sahip exe)

C2 Altyapisi

C2 Domaini: hubscore.io
C2 Domainhubscore.io (Statik string — gizleme yok)
ProtokolTCP + TLS (SSL stream) — AsyncRAT agla katmani
PortEncrypted config icerisinde (runtime'da cozuluyor)

Ag Protokolu (AsyncRAT)

  • AsyncClient — C2 baglanti sinifi (AsyncRAT kaynak kodundan)
  • SendSync / IsConnected / KeepAlive — baglanti durum takibi
  • Ping / ActivatePong — heartbeat mekanizmasi
  • SslClient / SslStream — TLS/SSL sarmalanmis C2 iletisimi
  • HeaderSize / Buffer / Offset — paket yapisi

Persistence Teknikleri

  • Task Scheduler: schtasks /create /f /sc onlogon /rl highest — logon'da en yuksek yetkiyle calisma
  • Registry Run Key: String ters cevrili olarak saklanmis: \nuR\noisreVtnerruC\swodniW\tfosorciM\erawtfoS = Software\Microsoft\Windows\CurrentVersion\Run
  • AppData persistence: %AppData% yoluna kopyalanma

Anti-Analiz Teknikleri

TeknikDetay
VM Tespiti (WMI)Select * from Win32_ComputerSystem — Manufacturer: vmware/VirtualBox/VIRTUAL kontrol
Sandboxie TespitiSbieDll.dll varligi kontrol
Debugger TespitiCheckRemoteDebuggerPresent
String GizlemeRegistry yolunu tersine cevirerek saklamis
Self-DeleteBatch dosya: timeout 3 > NUL; DEL "..." /f /q
Process KorumaRtlSetProcessIsCritical — sonlandirma engelliyor

Sifreleme / Kriptografi

  • AES (AesCryptoServiceProvider), RSA (RSACryptoServiceProvider), HMAC-SHA256 — cok katmanli sifreleme
  • Gizli yapilandirilmis config bloklari: birden fazla RSA sifreli base64 blob
  • Gizlenmis config icinde C2 adresi, port, mutex isimleri bulunuyor

AV Altyapi Bilgi Toplama

  • Select * from AntivirusProduct — kurulu AV listesi
  • displayName — her AV ismi topluyor
  • 64-bit/32-bit OS tespiti

IOC'lar

SHA256ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
C2 Domainhubscore.io
Dahili AdStub.exe
PersistenceHKCU\Software\Microsoft\Windows\CurrentVersion\Run + schtasks

Teknik Ozet

"SAMPLE CATALOGS AND DRAWING.exe" isimiyle kurumsal kullanicilari hedef alan bu kucuk (47 KB) AsyncRAT stub'i, dahilen Stub.exe olarak etiketlenmis ve hubscore.io C2 adresine baglanmaktadir. Standart AsyncRAT ag protokolunu (SslStream, KeepAlive, Ping/Pong) kullanmakla birlikte, kayit defteri yolunu ters cevirme ve schtasks ile yuksek yetkili kalici gorev kurma gibi ek kachilma teknikleri icermektedir. AV ve VM varligini WMI sorgulariyla tespit eder, tespit edilirse durmaktadir. Cok katmanli AES+RSA sifreleme kullanarak C2 portunu ve diger config'i saklar.

AsyncRAT — Malware Profile

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

Malware Type
RAT
Programming Language
.NET C#
C2 Protocol
TCP/SSL
Target Systems
Windows
Also Known As (AKA)
AsyncClient

Technical Details

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Attribution / Threat Actor

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (4 indicators)

IOC — AsyncRAT
# SHA256 ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1 # DOMAIN hubscore.io # REGISTRY HKCU\Software\Microsoft\Windows\CurrentVersion\Run # FILEPATH %AppData%\Stub.exe
TypeValueNote
sha256 ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
domain hubscore.io
registry HKCU\Software\Microsoft\Windows\CurrentVersion\Run
filepath %AppData%\Stub.exe

C2 Servers (8 recorded servers for this family)

Address Type Port Protocol Status Country
system.io domain — TCP active —
system.io domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
system.io domain — TCP active —
system.io domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
asyncratstubc2-hubscore-iobusiness-lurekatalogschtasksanti-vmstatik-analiztls