Manuel Statik Analiz — QuasarRAT | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | prick.exe (kaba/argo geliştirici adı) |
| Boyut | 920.576 byte (920KB) |
| String Sayisi | 7.582 |
Kaba Dosya Adı: Geliştirici Davranışı
prick.exe -- İngilizce argo/kaba kelime kullanımı -- Geliştirici test binary'lerinde görülen agresif isimlendirme -- SmokeLoader (autoruns.exe), PrivateLoader (sysmon.exe) → farklı strateji -- Bu örnek hiç gizleme yapmıyor: iç test veya test binary sızdı
Syscall Seviyesi Anti-Debug
Gelişmiş Teknik: Doğrudan NT syscall çağrısı!
SysNtQuerySystemInformation2 -- sistem bilgisi syscall SysNtQueryInformationProcess2 -- process bilgisi syscall -- "Sys" prefix = NtDll bypass → doğrudan syscall instruction! -- Windows API hook'larını atlıyor (EDR bypass!) -- Syscall numaraları dinamik resolve: NTDLL'den okunuyor -- Normal WinAPI: kernel32 → ntdll → syscall -- Bu: doğrudan syscall → ntdll bypass → EDR kör!
Şifrelenmiş Kimlik Bilgisi Alanları
DHwidFDFPwjuob -- QuasarRAT instance mutex (benzersiz!) <EncryptedPassword>k__BackingField -- .NET property backing field <EncryptedUsername>k__BackingField -- .NET property backing field -- QuasarRAT kimlik bilgilerini şifrelenmiş property'de saklıyor -- k__BackingField = C# auto-property compiler üretimi
IOC
| SHA256 | 8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Mutex | DHwidFDFPwjuob |
| Anti-Debug | SysNtQueryInformationProcess2 (direct syscall) |
Quasar3 — Malware Profile
QuasarRAT 2014 open source C#. prick.exe kaba test adi. DHwidFDFPwjuob mutex. SysNtQuery syscall EDR bypass. Sifrelenmis credentials.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Küresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — Quasar3
# SHA256
8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |