Manuel Statik Analiz (LLM Okumali) — QuasarRAT | Tehdit: KRITIK

Dosya Kimligi

SHA2562e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e
Orijinal Adhitclub.paris_113f01ee_q_chrome-update.exe
Boyut139.776 byte
Dil.NET (C#)

Teslimat: Sahte Chrome Guncelleme

Dosya adi chrome-update.exe ile Google Chrome guncelleme sureci taklidi yapilmaktadir. hitclub.paris domaini bu ornekle iliskili dagitim altyapisinın bir parcasıdir.

QuasarRAT Namespace Teyidi (Cleartext Stringler)

Quasar.Client.Config        — Yapilandirma modulu
Quasar.Client.IO            — Dosya islemleri
Quasar.Client.Networking    — Ag iletisimi
Quasar.Client.IpGeoLocation — IP geolocation (ipify + ipwho)
Quasar.Client.Logging       — Loglama modulu
Quasar.Common.IO            — Ortak IO katmani
Quasar.Common.DNS           — DNS/HOSTS yonetimi
Quasar.Common.Video         — Ekran/webcam modulu
Quasar.Common.Networking    — Ag altyapisi
QuasarApplication           — Ana uygulama sinifi

C2 Konfigurasyon Alanlari

AlanKullanim
Hostname k__BackingFieldC2 sunucu adresi
Port k__BackingFieldC2 port numarasi
Version k__BackingFieldQuasarRAT versiyonu
SERVERCERTIFICATESSL sertifika icerigi (self-signed)
SERVERCERTIFICATESTRSertifika dizisi

C2 Iletisimi

  • Sifrelenmis TCP — SSL/TLS ile self-signed sertifika
  • IP tespiti: https://api.ipify.org/ ve https://ipwho.is/
  • HOSTS dosyasi yonetimi — DNS zehirleme yapabilir

QuasarRAT Yetenekleri

  • Uzak komut satiri (reverse shell)
  • Keylogger
  • Ekran goruntusu ve uzak masaustu (RDP)
  • Webcam erisimi
  • Dosya yonetimi
  • Tarayici sifre calma
  • Surec yonetimi
  • Reverse proxy
  • HOSTS dosyasi manipulasyonu

IOC

SHA2562e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e
Lure Domainhitclub.paris
LureChrome update (sahte)
IP Lookupapi.ipify.org, ipwho.is
C2Sifrelenmis TCP SSL (dinamik analiz gerekli)

QuasarRAT — Malware Profili

QuasarRAT acik kaynak uzaktan erisim araci. v1.4.0 istemcisi Quasar.Client.Recovery ile Chrome/Firefox/Edge/Yandex/WinSCP/FileZilla kimlik bilgilerini kurtarir. PGma.System.MouseKeyHook ile fare+klavye izlemesi yapar. Protobuf-net ile sifreli C2 iletisimi saglar. schtasks ile kalicilik.

Malware Tipi
RAT
Programlama Dili
C#/.NET
C2 Protokolü
TCP/SSL
Hedef Sistemler
Windows
Diğer Adlar (AKA)
xRAT

Teknik Detaylar

C# .NET, TLS/SSL sifreleme, TCP varsayilan port 4782, Remote Desktop, Process Manager, File Browser, Password Recovery, Reverse Proxy (SOCKS5), Keylogger, Registry Editor

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — QuasarRAT
# SHA256 2e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e
TürDeğerNot
sha256 2e6fbd142bd5622d2415adbb479d091d322e27c19f0f5683ae8c4e5f06814b7e

C2 Sunucuları (Bu aile için 5 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
api.ipify.org domain 443 HTTPS active —
ipwho.is domain 443 HTTPS active —
hitclub.paris domain — HTTP active —
77.91.124.165 ip 4782 TCP inactive —
192.210.179.210 ip 4782 TCP inactive US

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
quasarratchrome-update-lureipifyssl-c2hitclub-parishosts-fileip-geolocation