Genel Bakış

Bu .NET (v4.0.30319) RAT örneği, AMSI (Antimalware Scan Interface) atlatma, AES-256 + RSA şifreleme, SSL/TLS TCP bağlantısı ve HWID tabanlı kurban parmak izi gibi gelişmiş yeteneklere sahiptir. amsi.dll ve VirtualProtect API adları Base64 ile gizlenerek bellek yaması yoluyla antivirüs taraması devre dışı bırakılmaktadır.

Teknik Analiz

AMSI Bypass Mekanizması

RAT, AMSI'yi bellek üzerinde devre dışı bırakmak için iki kritik string'i Base64 ile kodlamıştır:

  • YW1zaS5kbGw=amsi.dll (dinamik yükleme için)
  • VmlydHVhbFByb3RlY3Q=VirtualProtect (bellek yazma izni için)

Bu yöntemle amsi.dll yüklenmekte, AmsiScanBuffer fonksiyonunun başına ret 0 yamasıyla AMSI taraması engellenmektedir.

Şifreleme Katmanı

  • AES-256: Aes256, AesCryptoServiceProvider, CryptoStream, ICryptoTransform
  • RSA: RSACryptoServiceProvider — anahtar değişimi
  • MD5: MD5CryptoServiceProvider — doğrulama
  • SSL/TLS: AuthenticateAsClient, ValidateServerCertificate, Server_Certificate

Ağ İletişimi

  • TcpClient / NetworkStream tabanlı SSL bağlantısı
  • ReadServertData — sunucudan veri okuma
  • SslClient → TLS ile şifreli kanal
  • MessagePackLib → verimli binary serialization

HWID Parmak İzi

  • HwidGen — benzersiz donanım kimliği üretimi
  • Err HWID — HWID hatası durumu

Kalıcılık ve Kurulum

  • Client.Install, Install_File — dosya sistemi kurulum
  • DeleteSubKeyTree — önceki sürüm temizliği
  • MutexControl — tek örnek çalışma kontrolü
  • RegistryKeyPermissionCheck — kayıt defteri erişimi

Teknik Özellikler

ÖzellikDeğer
Platform.NET v4.0.30319
MimariPE32 (x86)
AMSI BypassVirtualProtect + bellek yaması
ŞifrelemeAES-256 + RSA + MD5
SerializationMessagePack
C2 ProtokolüSSL/TLS (TcpClient)

IOC Özeti

  • AMSI Bypass: YW1zaS5kbGw= (amsi.dll), VmlydHVhbFByb3RlY3Q= (VirtualProtect)
  • SHA256: 7b8787d64d8a0349bb302fca1a76267de0d2273deb069016c2c019271cb8115d

IOC List (1 indicators)

IOC — Custom RAT
# SHA256 7b8787d64d8a0349bb302fca1a76267de0d2273deb069016c2c019271cb8115d
TypeValueNote
sha256 7b8787d64d8a0349bb302fca1a76267de0d2273deb069016c2c019271cb8115d
Tags
ratdotnetamsi-bypassvirtualprotectaes256rsassl-tlshwidmutexmessagepackcsharp