Manuel Statik Analiz — QuasarRAT | Tehdit: KRITIK

Dosya Kimliği

SHA2568df4cc8b9c69f457a8d86e4c6d2a692a06b576aebb3c5f2a9b8e1d4c7f0a3b6
Dosya Adıprick.exe
Boyut920.576 byte
String Sayisi7.582

Syswhispers-Tarzı NT Syscall Obfuskasyonu

Kritik Teknik: NT API doğrudan sistem çağrısı ile AV/EDR hook bypass!
SysNtQuerySystemInformation2   -- NtQuerySystemInformation direkt syscall (Syswhispers2 imzası!)
SysNtQueryInformationProcess2  -- NtQueryInformationProcess direkt syscall
-- "Sys" prefix = EDR user-mode hook'larını atlayan direct syscall varyantları

AES Şifreleme Anahtarı

F2173046D565A390F2EA722F09E8C2D93396E6D63EB8E1A453E53E97707D6982
-- 32-byte hex AES-256 şifreleme anahtarı

Tarayıcı Cookie + Credential Hırsızlığı

<GetCookies>b__0   -- .NET LINQ lambda - Chrome cookie çalma
Login Data         -- Chrome credential DB dosyası
origin_url         -- Chrome login URL kaydı

IP Geolocation Keşfi

https://api.ipify.org/    -- Kurban IP adresi tespiti
https://ipwho.is/         -- Coğrafi konum belirleme

Süreç Enjeksiyonu

WriteProcessMemory  -- Başka bir sürece kod yazma (process injection)

IOC

SHA2568df4cc8b9c69f457a8d86e4c6d2a692a06b576aebb3c5f2a9b8e1d4c7f0a3b6
AES KeyF2173046D565A390F2EA722F09E8C2D9...
TeknikSyswhispers2 direct syscall

QuasarRAT2 — Malware Profile

QuasarRAT .NET 2014 MaxXor. prick.exe. SysWhispers v2 AV bypass. GoUWUjY mutex. PEB walking. amyuni driver download.

Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Kuresel

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC List (2 indicators)

IOC — QuasarRAT2
# SHA256 f2173046d565a390f2ea722f09e8c2d93396e6d63eb8e1a453e53e97707d6982 # DOMAIN ipify.org
TypeValueNote
sha256 f2173046d565a390f2ea722f09e8c2d93396e6d63eb8e1a453e53e97707d6982
domain ipify.org
Tags
quasar-ratsyswhispersntquery-syscallchrome-cookiewriteprocmemaes-key