Derin PE Analizi — Go Tabanlı AsyncClientRAT | Tehdit: KRİTİK

Dosya Kimliği

SHA2567dabe5d40c13c7c342b7182eaf7c63fbb5e326300316f6f6518b527d57e79ac8
Dosya AdıAsyncClient.exe
Boyut~4 MB (Go static binary)
MimariPE32+ x86-64, Go runtime

writeKeyLog + KeyLogWriter: TLS Oturum Anahtarı Kaydı

TLS KEY LOGGING: Şifreli oturumların çözülebilmesi için anahtar kayıt!
writeKeyLog
KeyLogWriter
crypto/tls.(*Config).writeKeyLog
-- Go crypto/tls paketinde `KeyLogWriter` alanı SSLKEYLOGFILE çıktısı üretir
-- RAT: kendi TLS bağlantılarının oturum anahtarlarını diske yazar
-- Amaç: C2 trafiğinin daha sonra analizi veya güvenlik aracı tespiti için:
  - Yakaladığı PCAP dosyaları + bu TLS anahtarları → kurbanın şifreli trafiğini çözme!
  - MitM proxy kurarak kurbanın HTTPS trafiğini gizlice okuma
-- Wireshark (Pre)-Master-Secret log formatıyla uyumlu

"victim" Stringi: Kurban Takip Sistemi

victim
-- Doğrudan "victim" = kurban kelimesi RAT kaynak kodunda sabit string
-- Kurban ID üretim/takip mekanizması: her enfekte cihaza benzersiz victim ID
-- C2'ye gönderilen heartbeat: victim_id + sistem bilgisi + durum
-- RAT görevi: kurbanları C2 panelinde listelemek ve yönetmek

Proses Enjeksiyon API Seti

WriteProcessMemory      -- hedef prosese kod yaz
SetThreadContext        -- iş parçacığı bağlamını değiştir (kod yeniden yönlendirme)
GetThreadContext        -- iş parçacığı durumunu oku
VirtualAlloc            -- hedef proseste bellek ayır
VirtualProtect          -- bellek korumasını değiştir (RWX)
CreateFileMappingW      -- bellek eşleme (process hollowing için)
-- Tam process injection kapasitesi: Process Hollowing + Classic Injection
-- Go'dan Windows API çağrısı: syscall.NewLazyDLL ile dinamik import

Kimlik Bilgisi Çalma

CryptUnprotectData      -- DPAPI ile şifrelenmiş kimlik bilgilerini çöz
                         (Chrome, Edge, Outlook şifreleri DPAPI ile korunur)
PFXImportCertStore      -- PFX/PKCS12 sertifika + özel anahtar içe aktar
NetUserGetInfo          -- kullanıcı hesap bilgilerini al (domain + local)
GetUserNameExW          -- tam kullanıcı adını al (UPN, sAMAccountName)
-- CryptUnprotectData: tarayıcı şifrelerini çözmek için standart yöntem
-- PFXImportCertStore: VPN, e-imza sertifikalarını çalmak için

Servis Kalıcılığı + Yan Hareket

CreateServiceW          -- Windows servisi oluştur (yeniden başlatmada çalış)
OpenSCManagerW          -- Servis Kontrol Yöneticisini aç
ControlService          -- servisi başlat/durdur/sil
QueryServiceStatus      -- servis durumunu sorgula
-- Kalıcılık: Windows servisi olarak kayıt → sistem her başlatıldığında çalışır
-- SMB + dnsapi.dll: ağ içi yan hareket (Active Directory ortamları)
-- TransmitFile: büyük veri aktarımı (dosya sızdırma için)

Kripto Kapasitesi

AES, ChaCha20, RC4, DES  -- simetrik şifreleme
RSA, ECDSA (P224/P256/P384/P521), Ed25519 -- asimetrik şifreleme
HKDF, RIPEMD-160         -- anahtar türetme + hash
-- Tam kriptografi kütüphanesi (Go stdlib)
-- C2 iletişimi: minimum AES-256 veya ChaCha20 ile şifreli
-- ECDSA Ed25519: kimlik doğrulama ve imzalama (beacon bütünlüğü)

Sistem Parmak İzi

GetComputerNameExW      -- tam bilgisayar adı (NetBIOS, FQDN, DNS)
IsWow64Process          -- 32-bit mi 64-bit mi?
GetDiskFreeSpaceExW     -- disk kapasitesi (sandbox tespiti için)
GetVolumePathNameW      -- sürücü bilgisi
Process32NextW          -- çalışan prosesleri listele
Module32FirstW          -- yüklü DLL'leri listele
EnumProcessModules      -- proses modüllerini say
-- Tam sistem parmak izi: kurban profili oluşturma
-- Sandbox: disk genellikle küçük → GetDiskFreeSpaceExW ile tespit

IOC

SHA2567dabe5d40c13c7c342b7182eaf7c63fbb5e326300316f6f6518b527d57e79ac8
AileAsyncClientGoRAT (Go tabanlı)

GoRAT — Malware Profile

Go-based AsyncClientRAT. writeKeyLog TLS session key logging. victim string. WriteProcessMemory SetThreadContext process injection. CryptUnprotectData PFXImportCertStore credential theft. CreateServiceW persistence. SMB/DNS lateral movement.

Malware Type
RAT
Programming Language
Go
C2 Protocol
TLS/HTTPS
Target Systems
Küresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (1 indicators)

IOC — GoRAT
# SHA256 7dabe5d40c13c7c342b7182eaf7c63fbb5e326300316f6f6518b527d57e79ac8
TypeValueNote
sha256 7dabe5d40c13c7c342b7182eaf7c63fbb5e326300316f6f6518b527d57e79ac8
Tags
goratgo-ratasyncclient-go-ratwritelog-keylogwriter-tls-session-key-loggingvictim-string-target-trackingwriteprocessmemory-setthreadcontext-process-injectioncryptunprotectdata-pfximportcertstore-credential-theftcreateservicew-persistencenetuser-getinfo-enumerationsmbdns-lateral-movement