Manuel Statik Analiz (LLM Okumali) — QuasarRAT | Tehdit: KRITIK
文件 Kimligi
| SHA256 | 2e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e |
|---|---|
| Orijinal Ad | hitclub.paris_113f01ee_q_chrome-update.exe |
| 大小 | 139.776 byte |
| Dil | .NET (C#) |
Teslimat: Sahte Chrome Guncelleme
文件 adi chrome-update.exe ile Google Chrome guncelleme sureci taklidi yapilmaktadir. hitclub.paris domaini bu ornekle iliskili dagitim altyapisinın bir parcasıdir.
QuasarRAT Namespace Teyidi (Cleartext Stringler)
Quasar.Client.Config — Yapilandirma modulu Quasar.Client.IO — Dosya islemleri Quasar.Client.Networking — Ag iletisimi Quasar.Client.IpGeoLocation — IP geolocation (ipify + ipwho) Quasar.Client.Logging — Loglama modulu Quasar.Common.IO — Ortak IO katmani Quasar.Common.DNS — DNS/HOSTS yonetimi Quasar.Common.Video — Ekran/webcam modulu Quasar.Common.Networking — Ag altyapisi QuasarApplication — Ana uygulama sinifi
C2 Konfigurasyon Alanlari
| Alan | Kullanim |
|---|---|
Hostname k__BackingField | C2 sunucu adresi |
Port k__BackingField | C2 port numarasi |
Version k__BackingField | QuasarRAT versiyonu |
SERVERCERTIFICATE | SSL sertifika icerigi (self-signed) |
SERVERCERTIFICATESTR | Sertifika dizisi |
C2 Iletisimi
- Sifrelenmis TCP — SSL/TLS ile self-signed sertifika
- IP tespiti:
https://api.ipify.org/vehttps://ipwho.is/ HOSTSdosyasi yonetimi — DNS zehirleme yapabilir
QuasarRAT Yetenekleri
- Uzak komut satiri (reverse shell)
- Keylogger
- Ekran goruntusu ve uzak masaustu (RDP)
- Webcam erisimi
- 文件 yonetimi
- Tarayici sifre calma
- Surec yonetimi
- Reverse proxy
- HOSTS dosyasi manipulasyonu
IOC
| SHA256 | 2e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e |
|---|---|
| Lure Domain | hitclub.paris |
| Lure | Chrome update (sahte) |
| IP Lookup | api.ipify.org, ipwho.is |
| C2 | Sifrelenmis TCP SSL (dinamik analiz gerekli) |
QuasarRAT — 恶意软件档案
QuasarRAT acik kaynak uzaktan erisim araci. v1.4.0 istemcisi Quasar.Client.Recovery ile Chrome/Firefox/Edge/Yandex/WinSCP/FileZilla kimlik bilgilerini kurtarir. PGma.System.MouseKeyHook ile fare+klavye izlemesi yapar. Protobuf-net ile sifreli C2 iletisimi saglar. schtasks ile kalicilik.
恶意软件类型
RAT
编程语言
C#/.NET
C2协议
TCP/SSL
目标系统
Windows
别名 (AKA)
xRAT
技术细节
C# .NET, TLS/SSL sifreleme, TCP varsayilan port 4782, Remote Desktop, Process Manager, File Browser, Password Recovery, Reverse Proxy (SOCKS5), Keylogger, Registry Editor
能力与行为
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC列表 (1 个指标)
IOC — QuasarRAT
# SHA256
2e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 2e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e |
C2服务器 (该家族共有 5 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| api.ipify.org | domain | 443 | HTTPS | active | — |
| ipwho.is | domain | 443 | HTTPS | active | — |
| hitclub.paris | domain | — | HTTP | active | — |
| 77.91.124.165 | ip | 4782 | TCP | inactive | — |
| 192.210.179.210 | ip | 4782 | TCP | inactive | US |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。