Manuel Statik Analiz — QuasarRAT | Tehdit: KRITIK

文件 Kimliği

SHA2568df4cc8b9c69f457a8d86e4c6d2a692a06b576aebb3c5f2a9b8e1d4c7f0a3b6
文件名prick.exe
大小920.576 byte
String Sayisi7.582

Syswhispers-Tarzı NT Syscall Obfuskasyonu

Kritik Teknik: NT API doğrudan sistem çağrısı ile AV/EDR hook bypass!
SysNtQuerySystemInformation2   -- NtQuerySystemInformation direkt syscall (Syswhispers2 imzası!)
SysNtQueryInformationProcess2  -- NtQueryInformationProcess direkt syscall
-- "Sys" prefix = EDR user-mode hook'larını atlayan direct syscall varyantları

AES Şifreleme Anahtarı

F2173046D565A390F2EA722F09E8C2D93396E6D63EB8E1A453E53E97707D6982
-- 32-byte hex AES-256 şifreleme anahtarı

Tarayıcı Cookie + Credential Hırsızlığı

<GetCookies>b__0   -- .NET LINQ lambda - Chrome cookie çalma
Login Data         -- Chrome credential DB dosyası
origin_url         -- Chrome login URL kaydı

IP Geolocation Keşfi

https://api.ipify.org/    -- Kurban IP adresi tespiti
https://ipwho.is/         -- Coğrafi konum belirleme

Süreç Enjeksiyonu

WriteProcessMemory  -- Başka bir sürece kod yazma (process injection)

IOC

SHA2568df4cc8b9c69f457a8d86e4c6d2a692a06b576aebb3c5f2a9b8e1d4c7f0a3b6
AES KeyF2173046D565A390F2EA722F09E8C2D9...
TeknikSyswhispers2 direct syscall

QuasarRAT2 — 恶意软件档案

QuasarRAT .NET 2014 MaxXor. prick.exe. SysWhispers v2 AV bypass. GoUWUjY mutex. PEB walking. amyuni driver download.

恶意软件类型
RAT
编程语言
C#/.NET
C2协议
TCP
目标系统
Kuresel

能力与行为

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC列表 (2 个指标)

IOC — QuasarRAT2
# SHA256 f2173046d565a390f2ea722f09e8c2d93396e6d63eb8e1a453e53e97707d6982 # DOMAIN ipify.org
类型备注
sha256 f2173046d565a390f2ea722f09e8c2d93396e6d63eb8e1a453e53e97707d6982
domain ipify.org
标签
quasar-ratsyswhispersntquery-syscallchrome-cookiewriteprocmemaes-key