Manuel Statik Analiz — QuasarRAT | Tehdit: YUKSEK

Dosya Kimliği

SHA2568df4cc8b9c69f4579205768b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya Adıprick.exe
Boyut920.576 byte (920KB)
String Sayisi7.582

SysWhispers v2 — AV Hook Kaçınma

İleri Teknik: SysWhispers, Windows NT system call numaralarını doğrudan kernel'dan alarak antivirüs hook'larını bypass eder!
SysNtQuerySystemInformation2   -- SysWhispers v2 syscall wrapper
SysNtQueryInformationProcess2  -- process info syscall bypass
-- Normal yol: User → ntdll.dll (AV hook burada!) → kernel
-- SysWhispers: User → syscall numarası → kernel (AV atlanır!)
-- Antivirüs ntdll.dll hookları bypass edilir

Mutex ve PEB Walking

GoUWUjYDy3LdrRBqOBOiR9   -- benzersiz mutex adı (27 karakter base62)
_PEB_LDR_DATA             -- Process Environment Block yapısı
_LDR_DATA_TABLE_ENTRY     -- Yüklü DLL listesi (gizli import için)
-- PEB walking: GetProcAddress çağırmadan API bulma
-- AV'nin API monitoring'ini bypass eder

Meşru Driver İndirme

https://www.amyuni.com/downloads/usbmmidd_v2.zip
-- amyuni.com = meşru PDF SDK + sanal yazıcı sürücüsü şirketi
-- usbmmidd = USB Mirror Monitor Display Driver
-- Ekran yansıtma sürücüsü → ekran görüntüsü!
-- "LOLBin": Meşru yazılım bileşenlerini kötüye kullanma

IOC

SHA2568df4cc8b9c69f4579205768b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
MutexGoUWUjYDy3LdrRBqOBOiR9
TeknikSysWhispers v2 (SysNtQuery*2)

QuasarRAT2 — Malware Profile

QuasarRAT .NET 2014 MaxXor. prick.exe. SysWhispers v2 AV bypass. GoUWUjY mutex. PEB walking. amyuni driver download.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — QuasarRAT2
# DOMAIN amyuni.com
TypeValueNote
domain amyuni.com
Tags
quasarprick-exesyswhisperssyscall-evasiongouwyujy-mutexpeb-walkinghidden-importsamyuni-driver