Manuel Statik Analiz — QuasarRAT | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 8df4cc8b9c69f457a8d86e4c6d2a692a06b576aebb3c5f2a9b8e1d4c7f0a3b6 |
|---|---|
| Dosya Adı | prick.exe |
| Boyut | 920.576 byte |
| String Sayisi | 7.582 |
Syswhispers-Tarzı NT Syscall Obfuskasyonu
Kritik Teknik: NT API doğrudan sistem çağrısı ile AV/EDR hook bypass!
SysNtQuerySystemInformation2 -- NtQuerySystemInformation direkt syscall (Syswhispers2 imzası!) SysNtQueryInformationProcess2 -- NtQueryInformationProcess direkt syscall -- "Sys" prefix = EDR user-mode hook'larını atlayan direct syscall varyantları
AES Şifreleme Anahtarı
F2173046D565A390F2EA722F09E8C2D93396E6D63EB8E1A453E53E97707D6982 -- 32-byte hex AES-256 şifreleme anahtarı
Tarayıcı Cookie + Credential Hırsızlığı
<GetCookies>b__0 -- .NET LINQ lambda - Chrome cookie çalma Login Data -- Chrome credential DB dosyası origin_url -- Chrome login URL kaydı
IP Geolocation Keşfi
https://api.ipify.org/ -- Kurban IP adresi tespiti https://ipwho.is/ -- Coğrafi konum belirleme
Süreç Enjeksiyonu
WriteProcessMemory -- Başka bir sürece kod yazma (process injection)
IOC
| SHA256 | 8df4cc8b9c69f457a8d86e4c6d2a692a06b576aebb3c5f2a9b8e1d4c7f0a3b6 |
|---|---|
| AES Key | F2173046D565A390F2EA722F09E8C2D9... |
| Teknik | Syswhispers2 direct syscall |
QuasarRAT2 — Malware Profile
QuasarRAT .NET 2014 MaxXor. prick.exe. SysWhispers v2 AV bypass. GoUWUjY mutex. PEB walking. amyuni driver download.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Kuresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (2 indicators)
IOC — QuasarRAT2
# SHA256
f2173046d565a390f2ea722f09e8c2d93396e6d63eb8e1a453e53e97707d6982
# DOMAIN
ipify.org
| Type | Value | Note |
|---|---|---|
| sha256 | f2173046d565a390f2ea722f09e8c2d93396e6d63eb8e1a453e53e97707d6982 | |
| domain | ipify.org |