Manuel Statik Analiz — QuasarRAT | Tehdit: KRİTİK

Dosya Kimliği

SHA2568df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Dosya Adıprick.exe (geliştirici hakaret ismi!)
Boyut920.576 byte (899KB)
String Sayisi7.582

prick.exe: Geliştirici Hakaret Dosya Adı

GELİŞTİRİCİ: Binary'e hakaret içeren ad verilmiş!
prick.exe
-- "prick" = İngilizce hakaret kelimesi (British slang)
-- Dridex3 analizi: "fromChrome9September9" + "boobs" + "bullshit" developer profanity
-- Bu örüntü: saldırganlar test binary'lerine hakaret/informal isim kullanıyor
-- "prick.exe": dağıtım sırasında değiştirilen ama PDB içinde saklanan orijinal ad
-- Geliştirici tavrı: hedefleri hafife alan rahat yaklaşım

SysNtQuery*2/3: Çoklu Doğrudan Syscall Paketleri

AV BYPASS: Doğrudan syscall ile EDR/AV hook'larını atlıyor!
SysNtQuerySystemInformation2    -- sistem bilgisi syscall (2. versiyon)
SysNtQueryInformationProcess2   -- süreç bilgisi syscall (2. versiyon)
SysNtQuerySystemInformation3    -- sistem bilgisi syscall (3. versiyon)
SysNtQueryInformationProcess3   -- süreç bilgisi syscall (3. versiyon)
SysNtQueryInformationThread     -- iş parçacığı bilgisi syscall
SysNtClose                      -- handle kapatma syscall
-- "SysNt" prefix = SysWhispers/D/Invoke tarzı doğrudan syscall wrapper'ı
-- Doğrudan syscall: ntdll.dll'e çağrı YAPMAZ → EDR hook'larını atlar!
-- "2" ve "3" versiyonları: farklı çağrı sözleşmeleri (x86/x64 kompatiblite)
-- QuasarRAT: userland API'leri tamamen bypass ediyor → stealth artışı
-- SysWhispers2: popüler syscall framework → QuasarRAT'a entegre edilmiş

SharpDX + StartScreenStreaming: DirectX Ekran Yakalama

EKRAN YAKALAMA: DirectX hızlandırmalı gerçek zamanlı ekran akışı!
costura.sharpdx.pdb.compressed
costura.sharpdx.direct3d11.pdb.compressed
costura.sharpdx.dxgi.pdb.compressed
<StartScreenStreaming>b__26_0
<StartScreenStreaming>b__18_0
<DisableScreensaver>b__22_0
-- SharpDX: C# DirectX wrapper kütüphanesi (ekran yakalama için!)
-- "SharpDX.Direct3D11" = DirectX 11 API bağlantısı
-- "SharpDX.DXGI" = DirectX Graphics Infrastructure (ekran kopyalama!)
-- "StartScreenStreaming" = canlı ekran akışını başlatır!
  - DXGI Desktop Duplication API: GPU ile doğrudan ekran kopyalama
  - AV'den kaçma: GPU operasyonu → CPU tabanlı AV taraması görmez
-- "DisableScreensaver" = ekran koruyucusunu devre dışı bırak
  - Saldırgan ekranı izlemeyi garantiliyor
-- costura: Costura.Fody ile SharpDX gömülü (bağımlılık olmadan çalışır)

DOMAIN_PASSWORD + GetPasswordsResponse: Kimlik Bilgisi Hırsızlığı

DOMAIN_VISIBLE_PASSWORD    -- Windows Kimlik Bilgisi Yöneticisi tipi
DOMAIN_PASSWORD            -- etki alanı şifre kimlik bilgisi tipi
<Passwords>b__0            -- şifre koleksiyonu lambda
<GetPasswords>b__0         -- şifre alma lambda
GetPasswordsResponse       -- C2'ye şifre yanıtı
GetKeyloggerLogsDirectoryResponse  -- keylogger log dizini yanıtı
-- "DOMAIN_PASSWORD": Windows CredMan CRED_TYPE_DOMAIN_PASSWORD enum değeri
-- QuasarRAT: Windows Credential Manager etki alanı şifrelerini çalıyor
-- "DOMAIN_VISIBLE_PASSWORD": görünür parola (daha zayıf şifreleme)
-- GetKeyloggerLogsDirectoryResponse: keylogger log dizinini C2'ye gönder
-- Tam yetenek: ekran yakalama + keylogger + şifre hırsızlığı + domain creds

IOC

SHA2568df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
Dosya Adıprick.exe
KütüphaneSharpDX.Direct3D11 + DXGI (Costura gömülü)
SyscallSysNtQuerySystemInformation2/3, SysNtQueryInformationProcess2/3

QuasarRAT — Malware Profile

QuasarRAT acik kaynak uzaktan erisim araci. v1.4.0 istemcisi Quasar.Client.Recovery ile Chrome/Firefox/Edge/Yandex/WinSCP/FileZilla kimlik bilgilerini kurtarir. PGma.System.MouseKeyHook ile fare+klavye izlemesi yapar. Protobuf-net ile sifreli C2 iletisimi saglar. schtasks ile kalicilik.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP/SSL
Target Systems
Windows
Also Known As (AKA)
xRAT

Technical Details

C# .NET, TLS/SSL sifreleme, TCP varsayilan port 4782, Remote Desktop, Process Manager, File Browser, Password Recovery, Reverse Proxy (SOCKS5), Keylogger, Registry Editor

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — QuasarRAT
# SHA256 8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
TypeValueNote
sha256 8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0

C2 Servers (5 recorded servers for this family)

Address Type Port Protocol Status Country
api.ipify.org domain 443 HTTPS active &mdash;
ipwho.is domain 443 HTTPS active &mdash;
hitclub.paris domain &mdash; HTTP active &mdash;
77.91.124.165 ip 4782 TCP inactive &mdash;
192.210.179.210 ip 4782 TCP inactive US

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
quasarratquasar-ratprick-exe-developer-profanitysysntsyscall-direct-syscall-bypasssharpdx-startscreenstreaming-directx-screen-capturedomain-password-credential-theftdomain-visible-passwordgetkeyloggerlogsdirectorydisablescreensavercostura-sharpdx-embedded