Derin Analiz - ASUS Update JSON RAT | Tehdit: YUKSEK

Dosya Kimligi

SHA256624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372
Boyut1,156,096 byte PE32 x86, entropi 7.91 (packed)
KamuflaASUS Update Setup / ASUSTeK Computer Inc.
Uretici (sahte)Copyright 2019 ASUSTeK Computer Inc.

ASUS Kamuflagesi

DIKKAT: Mesgru ASUS Update yazilimi olarak gizlenmis RAT!
Sahte versiyon bilgileri:\n  ProductName:    ASUS Update\n  CompanyName:    ASUSTeK Computer Inc.\n  Copyright:      Copyright 2019 ASUSTeK Computer Inc.\n  OriginalFile:   AsusUpdateSetup.exe\n\nCok dilli sahte hata mesajlari (gerci mesgru ASUS kodundan alinmis):\n  Italyanca: "Installazione non riuscita. Il programma di installazione..."\n  Norvekkce: "Installasjonsprogrammet for %1!s!"

JSON C2 Protokolu

C2: HTTP C2 protokolu JSON formatinda. cJSON kutuphane kullanimi.
C2 URL pattern: http://%ws%ws%s (runtime\x27da doldurulur)\n\nC2 mesaj tipleri:\n  { "_hwid": "%s" }                                 <- kimlik duyurusu\n  { "_hwid": "%s", "_ping": "true" }               <- canlilik kontrol\n  { "_hwid": "%s", "_computer": "%s", "_username": "%s", "_os": "%s" }\n                                                    <- sistem bilgisi\n  { "_hwid": "%s", "_cmd": "true" }                <- komut istegi\n  { "_hwid": "%s", "_cmd_done": "true", "_response": "%s" }\n                                                    <- komut yaniti\n  { "_hwid": "%s", "_filemgr": "true" }            <- dosya yonetici\n  { "_hwid": "%s", "_filemgr_done": "true", "_response": "%s" }\n  { "_hwid": "%s", "_fileupload": "true" }         <- dosya yukle\n  { "_hwid": "%s", "_uploadstatus": "true/false" } <- yukleme durumu\n  { "_hwid": "%s", "_task": "true" }               <- gorev al\n  { "_hwid": "%s", "_del": "true" }                <- kendini sil

Teknik Yetenekler

HTTP istekleri: URLDownloadToFileA, HttpOpenRequestW, HttpSendRequestW\n               InternetOpenW, InternetConnectW, InternetReadFile\n\nDosya: ReadFile, WriteFile, DeleteFileA, GetTempPathA, PathFindExtensionA\n\nKomut: cmd.exe /c %s > %s  <- ciktiyi dosyaya aktar\n\nJSON: cJSON kutuphane (cJSON_Version dahil edilmis)

IOC

SHA256624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372
KamuflaASUS Update Setup / AsusUpdateSetup.exe
C2 ProtoHTTP JSON (cJSON)
Komutlarhwid, ping, cmd, filemgr, fileupload, task, del

AsusUpdateRAT — Malware Profile

ASUSTeK Computer Inc. guncellemesi olarak gizlenmis ozel RAT. JSON C2 protokolu (cJSON kutuphane). Komutlar: ping, cmd, filemgr, fileupload, del. Donanim kimlik (hwid) bazli takip. cmd.exe output yakalama. Dosya yonetici ve yukle ozellikleri.

Malware Type
RAT
Programming Language
C
C2 Protocol
HTTP
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — AsusUpdateRAT
# SHA256 624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372
TypeValueNote
sha256 624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372
Tags
asustek-computer-update-disguiseasususupdatesetup-exe-fake-version-infojson-c2-protocol-cjson-libraryhwid-hardware-id-fingerprintping-cmd-filemgr-fileupload-task-commandshttp-internetopenw-httpopenrequestw-httpsendrequestcmd-exe-command-output-capturefile-manager-upload-downloaddeletefilea-self-delete-commandpathfindextensiona-file-opsmultilingual-fake-installer-italian-norwegiancustom-rat-asus-update-masquerade