Manuel Statik Analiz (LLM Okumali) — AsyncRAT Stub / Business-Lure | Tehdit: CRITICAL
Etiket Notu: MalwareBazaar bu ornegi redline olarak etiketledi, ancak string analizi AsyncRAT aglama protokolunu (AsyncClient, SendSync, KeepAlive, Ping, ActivatePong, SslClient, TcpClient) onayladi. Bu ornek muhtemelen AsyncRAT stub'i veya AsyncRAT'i kullanan ozel bir C# RAT'tir.

Dosya Kimligi

SHA256ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
Orijinal AdSAMPLE CATALOGS AND DRAWING.exe
Dahili AdStub.exe
Boyut48.640 byte (~47 KB)
RuntimeC# / .NET Framework 4 Client Profile
Versiyon1.0.0.0 (tum alanlarda)

Sosyal Muhendislik

HedefKurumsal kullanicilari (tedarik/satis departmanlari)
Kimlik"SAMPLE CATALOGS AND DRAWING" — katalog/cizim talebi gibi gozuken is e-postasi
DagitimE-posta eki (icin talep kimligine sahip exe)

C2 Altyapisi

C2 Domaini: hubscore.io
C2 Domainhubscore.io (Statik string — gizleme yok)
ProtokolTCP + TLS (SSL stream) — AsyncRAT agla katmani
PortEncrypted config icerisinde (runtime'da cozuluyor)

Ag Protokolu (AsyncRAT)

  • AsyncClient — C2 baglanti sinifi (AsyncRAT kaynak kodundan)
  • SendSync / IsConnected / KeepAlive — baglanti durum takibi
  • Ping / ActivatePong — heartbeat mekanizmasi
  • SslClient / SslStream — TLS/SSL sarmalanmis C2 iletisimi
  • HeaderSize / Buffer / Offset — paket yapisi

Persistence Teknikleri

  • Task Scheduler: schtasks /create /f /sc onlogon /rl highest — logon'da en yuksek yetkiyle calisma
  • Registry Run Key: String ters cevrili olarak saklanmis: \nuR\noisreVtnerruC\swodniW\tfosorciM\erawtfoS = Software\Microsoft\Windows\CurrentVersion\Run
  • AppData persistence: %AppData% yoluna kopyalanma

Anti-Analiz Teknikleri

TeknikDetay
VM Tespiti (WMI)Select * from Win32_ComputerSystem — Manufacturer: vmware/VirtualBox/VIRTUAL kontrol
Sandboxie TespitiSbieDll.dll varligi kontrol
Debugger TespitiCheckRemoteDebuggerPresent
String GizlemeRegistry yolunu tersine cevirerek saklamis
Self-DeleteBatch dosya: timeout 3 > NUL; DEL "..." /f /q
Process KorumaRtlSetProcessIsCritical — sonlandirma engelliyor

Sifreleme / Kriptografi

  • AES (AesCryptoServiceProvider), RSA (RSACryptoServiceProvider), HMAC-SHA256 — cok katmanli sifreleme
  • Gizli yapilandirilmis config bloklari: birden fazla RSA sifreli base64 blob
  • Gizlenmis config icinde C2 adresi, port, mutex isimleri bulunuyor

AV Altyapi Bilgi Toplama

  • Select * from AntivirusProduct — kurulu AV listesi
  • displayName — her AV ismi topluyor
  • 64-bit/32-bit OS tespiti

IOC'lar

SHA256ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
C2 Domainhubscore.io
Dahili AdStub.exe
PersistenceHKCU\Software\Microsoft\Windows\CurrentVersion\Run + schtasks

Teknik Ozet

"SAMPLE CATALOGS AND DRAWING.exe" isimiyle kurumsal kullanicilari hedef alan bu kucuk (47 KB) AsyncRAT stub'i, dahilen Stub.exe olarak etiketlenmis ve hubscore.io C2 adresine baglanmaktadir. Standart AsyncRAT ag protokolunu (SslStream, KeepAlive, Ping/Pong) kullanmakla birlikte, kayit defteri yolunu ters cevirme ve schtasks ile yuksek yetkili kalici gorev kurma gibi ek kachilma teknikleri icermektedir. AV ve VM varligini WMI sorgulariyla tespit eder, tespit edilirse durmaktadir. Cok katmanli AES+RSA sifreleme kullanarak C2 portunu ve diger config'i saklar.

AsyncRAT — Malware Profili

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

Malware Tipi
RAT
Programlama Dili
.NET C#
C2 Protokolü
TCP/SSL
Hedef Sistemler
Windows
Diğer Adlar (AKA)
AsyncClient

Teknik Detaylar

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Atıf / Tehdit Aktörü

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (4 gösterge)

IOC — AsyncRAT
# SHA256 ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1 # DOMAIN hubscore.io # REGISTRY HKCU\Software\Microsoft\Windows\CurrentVersion\Run # FILEPATH %AppData%\Stub.exe
TürDeğerNot
sha256 ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
domain hubscore.io
registry HKCU\Software\Microsoft\Windows\CurrentVersion\Run
filepath %AppData%\Stub.exe

C2 Sunucuları (Bu aile için 8 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
asyncratstubc2-hubscore-iobusiness-lurekatalogschtasksanti-vmstatik-analiztls