Manuel Statik Analiz — AsyncRAT | Tehdit: | CVSS: 7.5

ファイル Kimliği

SHA2564ba87b20a9d920cff0284d250f5c5620dea287fbe9a84d0bb5f4683e74d3ec43
MD5fc593f737df50d3cb29fc88ddfb600b1
ファイル名4ba87b20a9d920cff0284d250f5c5620dea287fbe9a84d0bb5f4683e74d3ec43.ps1
サイズ216,341 byte (211 KB)
種別ASCII text, with CRLF, LF line terminators
String Sayısı2,830

IOC

SHA2564ba87b20a9d920cff0284d250f5c5620dea287fbe9a84d0bb5f4683e74d3ec43
MD5fc593f737df50d3cb29fc88ddfb600b1
Domainsystem.io
BTC Cüzdan1fKcwNqrYbpoHMwwuvSGi9pzzcTPc8gp, 1FWSeAmbZ8b6DR12KCi5g6vTr5BkX
Mutexcs.FlushFinalBlock

AsyncRAT — マルウェアプロファイル

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

マルウェアの種類
RAT
プログラミング言語
.NET C#
C2プロトコル
TCP/SSL
標的システム
Windows
別名 (AKA)
AsyncClient

技術詳細

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

アトリビューション / 脅威アクター

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (6 件の指標)

IOC — AsyncRAT
# SHA256 4ba87b20a9d920cff0284d250f5c5620dea287fbe9a84d0bb5f4683e74d3ec43 # MD5 fc593f737df50d3cb29fc88ddfb600b1 # DOMAIN system.io # MUTEX 1fKcwNqrYbpoHMwwuvSGi9pzzcTPc8gp # MUTEX 1FWSeAmbZ8b6DR12KCi5g6vTr5BkX # MUTEX cs.FlushFinalBlock
タイプメモ
sha256 4ba87b20a9d920cff0284d250f5c5620dea287fbe9a84d0bb5f4683e74d3ec43
md5 fc593f737df50d3cb29fc88ddfb600b1
domain system.io C2 domain
mutex 1fKcwNqrYbpoHMwwuvSGi9pzzcTPc8gp BTC
mutex 1FWSeAmbZ8b6DR12KCi5g6vTr5BkX BTC
mutex cs.FlushFinalBlock Mutex

C2サーバー (このファミリーで8台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
AsyncRATmalwarestatik-analizIOC