Manuel Statik Analiz — QuasarRAT | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 8df4cc8b9c69f4579205768b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | prick.exe |
| Boyut | 920.576 byte (920KB) |
| String Sayisi | 7.582 |
SysWhispers v2 — AV Hook Kaçınma
İleri Teknik: SysWhispers, Windows NT system call numaralarını doğrudan kernel'dan alarak antivirüs hook'larını bypass eder!
SysNtQuerySystemInformation2 -- SysWhispers v2 syscall wrapper SysNtQueryInformationProcess2 -- process info syscall bypass -- Normal yol: User → ntdll.dll (AV hook burada!) → kernel -- SysWhispers: User → syscall numarası → kernel (AV atlanır!) -- Antivirüs ntdll.dll hookları bypass edilir
Mutex ve PEB Walking
GoUWUjYDy3LdrRBqOBOiR9 -- benzersiz mutex adı (27 karakter base62) _PEB_LDR_DATA -- Process Environment Block yapısı _LDR_DATA_TABLE_ENTRY -- Yüklü DLL listesi (gizli import için) -- PEB walking: GetProcAddress çağırmadan API bulma -- AV'nin API monitoring'ini bypass eder
Meşru Driver İndirme
https://www.amyuni.com/downloads/usbmmidd_v2.zip -- amyuni.com = meşru PDF SDK + sanal yazıcı sürücüsü şirketi -- usbmmidd = USB Mirror Monitor Display Driver -- Ekran yansıtma sürücüsü → ekran görüntüsü! -- "LOLBin": Meşru yazılım bileşenlerini kötüye kullanma
IOC
| SHA256 | 8df4cc8b9c69f4579205768b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Mutex | GoUWUjYDy3LdrRBqOBOiR9 |
| Teknik | SysWhispers v2 (SysNtQuery*2) |
QuasarRAT2 — Malware Profile
QuasarRAT .NET 2014 MaxXor. prick.exe. SysWhispers v2 AV bypass. GoUWUjY mutex. PEB walking. amyuni driver download.
Malware Type
RAT
Programming Language
C#/.NET
C2 Protocol
TCP
Target Systems
Kuresel
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (1 indicators)
IOC — QuasarRAT2
# DOMAIN
amyuni.com
| Type | Value | Note |
|---|---|---|
| domain | amyuni.com |