Manuel Statik Analiz — QuasarRAT | Tehdit: ORTA

Dosya Kimliği

SHA2568df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya Adıprick.exe (kaba/argo geliştirici adı)
Boyut920.576 byte (920KB)
String Sayisi7.582

Kaba Dosya Adı: Geliştirici Davranışı

prick.exe
-- İngilizce argo/kaba kelime kullanımı
-- Geliştirici test binary'lerinde görülen agresif isimlendirme
-- SmokeLoader (autoruns.exe), PrivateLoader (sysmon.exe) → farklı strateji
-- Bu örnek hiç gizleme yapmıyor: iç test veya test binary sızdı

Syscall Seviyesi Anti-Debug

Gelişmiş Teknik: Doğrudan NT syscall çağrısı!
SysNtQuerySystemInformation2   -- sistem bilgisi syscall
SysNtQueryInformationProcess2  -- process bilgisi syscall
-- "Sys" prefix = NtDll bypass → doğrudan syscall instruction!
-- Windows API hook'larını atlıyor (EDR bypass!)
-- Syscall numaraları dinamik resolve: NTDLL'den okunuyor
-- Normal WinAPI: kernel32 → ntdll → syscall
-- Bu: doğrudan syscall → ntdll bypass → EDR kör!

Şifrelenmiş Kimlik Bilgisi Alanları

DHwidFDFPwjuob              -- QuasarRAT instance mutex (benzersiz!)
<EncryptedPassword>k__BackingField  -- .NET property backing field
<EncryptedUsername>k__BackingField  -- .NET property backing field
-- QuasarRAT kimlik bilgilerini şifrelenmiş property'de saklıyor
-- k__BackingField = C# auto-property compiler üretimi

IOC

SHA2568df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
MutexDHwidFDFPwjuob
Anti-DebugSysNtQueryInformationProcess2 (direct syscall)

Quasar3 — Malware Profile

QuasarRAT 2014 open source C#. prick.exe kaba test adi. DHwidFDFPwjuob mutex. SysNtQuery syscall EDR bypass. Sifrelenmis credentials.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — Quasar3
# SHA256 8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
quasarratprick-exe-crude-namedhwidfdfpwjuob-mutexsysntqueryinformationprocess2-syscallsyscall-anti-debugencrypted-credentials