Manuel Statik Analiz (LLM Okumali) — QuasarRAT | Tehdit: KRITIK

ファイル Kimligi

SHA2562e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e
Orijinal Adhitclub.paris_113f01ee_q_chrome-update.exe
サイズ139.776 byte
Dil.NET (C#)

Teslimat: Sahte Chrome Guncelleme

ファイル adi chrome-update.exe ile Google Chrome guncelleme sureci taklidi yapilmaktadir. hitclub.paris domaini bu ornekle iliskili dagitim altyapisinın bir parcasıdir.

QuasarRAT Namespace Teyidi (Cleartext Stringler)

Quasar.Client.Config        — Yapilandirma modulu
Quasar.Client.IO            — Dosya islemleri
Quasar.Client.Networking    — Ag iletisimi
Quasar.Client.IpGeoLocation — IP geolocation (ipify + ipwho)
Quasar.Client.Logging       — Loglama modulu
Quasar.Common.IO            — Ortak IO katmani
Quasar.Common.DNS           — DNS/HOSTS yonetimi
Quasar.Common.Video         — Ekran/webcam modulu
Quasar.Common.Networking    — Ag altyapisi
QuasarApplication           — Ana uygulama sinifi

C2 Konfigurasyon Alanlari

AlanKullanim
Hostname k__BackingFieldC2 sunucu adresi
Port k__BackingFieldC2 port numarasi
Version k__BackingFieldQuasarRAT versiyonu
SERVERCERTIFICATESSL sertifika icerigi (self-signed)
SERVERCERTIFICATESTRSertifika dizisi

C2 Iletisimi

  • Sifrelenmis TCP — SSL/TLS ile self-signed sertifika
  • IP tespiti: https://api.ipify.org/ ve https://ipwho.is/
  • HOSTS dosyasi yonetimi — DNS zehirleme yapabilir

QuasarRAT Yetenekleri

  • Uzak komut satiri (reverse shell)
  • Keylogger
  • Ekran goruntusu ve uzak masaustu (RDP)
  • Webcam erisimi
  • ファイル yonetimi
  • Tarayici sifre calma
  • Surec yonetimi
  • Reverse proxy
  • HOSTS dosyasi manipulasyonu

IOC

SHA2562e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e
Lure Domainhitclub.paris
LureChrome update (sahte)
IP Lookupapi.ipify.org, ipwho.is
C2Sifrelenmis TCP SSL (dinamik analiz gerekli)

QuasarRAT — マルウェアプロファイル

QuasarRAT acik kaynak uzaktan erisim araci. v1.4.0 istemcisi Quasar.Client.Recovery ile Chrome/Firefox/Edge/Yandex/WinSCP/FileZilla kimlik bilgilerini kurtarir. PGma.System.MouseKeyHook ile fare+klavye izlemesi yapar. Protobuf-net ile sifreli C2 iletisimi saglar. schtasks ile kalicilik.

マルウェアの種類
RAT
プログラミング言語
C#/.NET
C2プロトコル
TCP/SSL
標的システム
Windows
別名 (AKA)
xRAT

技術詳細

C# .NET, TLS/SSL sifreleme, TCP varsayilan port 4782, Remote Desktop, Process Manager, File Browser, Password Recovery, Reverse Proxy (SOCKS5), Keylogger, Registry Editor

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (1 件の指標)

IOC — QuasarRAT
# SHA256 2e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e
タイプメモ
sha256 2e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e

C2サーバー (このファミリーで5台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
api.ipify.org domain 443 HTTPS active —
ipwho.is domain 443 HTTPS active —
hitclub.paris domain — HTTP active —
77.91.124.165 ip 4782 TCP inactive —
192.210.179.210 ip 4782 TCP inactive US

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
quasarratchrome-update-lureipifyssl-c2hitclub-parishosts-fileip-geolocation