Genel Bakış

Bu .NET (v4.0.30319) RAT örneği, AMSI (Antimalware Scan Interface) atlatma, AES-256 + RSA şifreleme, SSL/TLS TCP bağlantısı ve HWID tabanlı kurban parmak izi gibi gelişmiş yeteneklere sahiptir. amsi.dll ve VirtualProtect API adları Base64 ile gizlenerek bellek yaması yoluyla antivirüs taraması devre dışı bırakılmaktadır.

Teknik Analiz

AMSI Bypass Mekanizması

RAT, AMSI'yi bellek üzerinde devre dışı bırakmak için iki kritik string'i Base64 ile kodlamıştır:

  • YW1zaS5kbGw=amsi.dll (dinamik yükleme için)
  • VmlydHVhbFByb3RlY3Q=VirtualProtect (bellek yazma izni için)

Bu yöntemle amsi.dll yüklenmekte, AmsiScanBuffer fonksiyonunun başına ret 0 yamasıyla AMSI taraması engellenmektedir.

Şifreleme Katmanı

  • AES-256: Aes256, AesCryptoServiceProvider, CryptoStream, ICryptoTransform
  • RSA: RSACryptoServiceProvider — anahtar değişimi
  • MD5: MD5CryptoServiceProvider — doğrulama
  • SSL/TLS: AuthenticateAsClient, ValidateServerCertificate, Server_Certificate

Ağ İletişimi

  • TcpClient / NetworkStream tabanlı SSL bağlantısı
  • ReadServertData — sunucudan veri okuma
  • SslClient → TLS ile şifreli kanal
  • MessagePackLib → verimli binary serialization

HWID Parmak İzi

  • HwidGen — benzersiz donanım kimliği üretimi
  • Err HWID — HWID hatası durumu

Kalıcılık ve Kurulum

  • Client.Install, Install_File — dosya sistemi kurulum
  • DeleteSubKeyTree — önceki sürüm temizliği
  • MutexControl — tek örnek çalışma kontrolü
  • RegistryKeyPermissionCheck — kayıt defteri erişimi

Teknik 属性ler

属性
Platform.NET v4.0.30319
架构PE32 (x86)
AMSI BypassVirtualProtect + bellek yaması
ŞifrelemeAES-256 + RSA + MD5
SerializationMessagePack
C2 协议SSL/TLS (TcpClient)

IOC Özeti

  • AMSI Bypass: YW1zaS5kbGw= (amsi.dll), VmlydHVhbFByb3RlY3Q= (VirtualProtect)
  • SHA256: 7b8787d64d8a0349bb302fca1a76267de0d2273deb069016c2c019271cb8115d

IOC列表 (1 个指标)

IOC — Custom RAT
# SHA256 7b8787d64d8a0349bb302fca1a76267de0d2273deb069016c2c019271cb8115d
类型备注
sha256 7b8787d64d8a0349bb302fca1a76267de0d2273deb069016c2c019271cb8115d
标签
ratdotnetamsi-bypassvirtualprotectaes256rsassl-tlshwidmutexmessagepackcsharp