Hash / BilgiDeger
SHA256a53732f6b49c8d9b99b7bdad38c3255f7ea944e14b86c8f674dd3187c74e808e
MD51e9812a1888c470d13eb21fa9a782277
SHA1567d226e5bb40bec7b3e93a740140df88ecdcd5c
ImpHashf34d5f2d4577ed6d9ceec516c1f5a744
Dosya Adifile
Dosya Türüexe
Boyut356,352 bytes
Ilk Görülme2020-02-27

Tehdit Degerlendirmesi

Bu ornek, saldırganlara ele gecirilen sistemler uzerinde tam uzaktan kontrol imkani sunan bir RAT (Uzaktan Erisim Trojanı) olarak tespit edilmistir. Keylogging, ekran goruntüsü alma, dosya yonetimi ve kabuk erisimi gibi kapsamlı gozetleme yeteneklerine sahiptir.

Tespit Edilen Yetenekler

  • Uzaktan Erisim
  • Keylogging
  • Ekran Goruntüsü
  • Dosya Yonetimi
  • Kabuk Erisimi

MalwareBazaar Etiketleri

QuasarQuasarRAT

Analiz Notu

Bu ornek QuasarRAT ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

QuasarRAT — Malware Profile

QuasarRAT acik kaynak uzaktan erisim araci. v1.4.0 istemcisi Quasar.Client.Recovery ile Chrome/Firefox/Edge/Yandex/WinSCP/FileZilla kimlik bilgilerini kurtarir. PGma.System.MouseKeyHook ile fare+klavye izlemesi yapar. Protobuf-net ile sifreli C2 iletisimi saglar. schtasks ile kalicilik.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/SSL
Target Systems
Windows
Also Known As (AKA)
xRAT

Technical Details

C# .NET, TLS/SSL sifreleme, TCP varsayilan port 4782, Remote Desktop, Process Manager, File Browser, Password Recovery, Reverse Proxy (SOCKS5), Keylogger, Registry Editor

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (8 indicators)

IOC — QuasarRAT
# SHA256 a53732f6b49c8d9b99b7bdad38c3255f7ea944e14b86c8f674dd3187c74e808e # MD5 1e9812a1888c470d13eb21fa9a782277 # IP 77.91.124.165 # IP 192.210.179.210 # DOMAIN quasarmanager.ddns.net # DOMAIN quickrat.hopto.org # MUTEX QSR_MUTEX_5efbf17dfa # REGISTRY HKCUSoftwareMicrosoftWindowsCurrentVersionRunQuasar
TypeValueNote
sha256 a53732f6b49c8d9b99b7bdad38c3255f7ea944e14b86c8f674dd3187c74e808e
md5 1e9812a1888c470d13eb21fa9a782277
ip 77.91.124.165 C2:4782
ip 192.210.179.210 C2:4782
domain quasarmanager.ddns.net QuasarRAT DDNS C2
domain quickrat.hopto.org QuasarRAT Hopto dynamic DNS
mutex QSR_MUTEX_5efbf17dfa QuasarRAT mutex
registry HKCUSoftwareMicrosoftWindowsCurrentVersionRunQuasar QuasarRAT autorun

C2 Servers (5 recorded servers for this family)

Address Type Port Protocol Status Country
api.ipify.org domain 443 HTTPS active —
ipwho.is domain 443 HTTPS active —
hitclub.paris domain — HTTP active —
77.91.124.165 ip 4782 TCP inactive —
192.210.179.210 ip 4782 TCP inactive US

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
QuasarQuasarRAT