Manuel Statik Analiz (LLM Okumali) — AsyncRAT Stub / Business-Lure | Tehdit: CRITICAL
Etiket Notu: MalwareBazaar bu ornegi redline olarak etiketledi, ancak string analizi AsyncRAT aglama protokolunu (AsyncClient, SendSync, KeepAlive, Ping, ActivatePong, SslClient, TcpClient) onayladi. Bu ornek muhtemelen AsyncRAT stub'i veya AsyncRAT'i kullanan ozel bir C# RAT'tir.

Fichier Kimligi

SHA256ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
Orijinal AdSAMPLE CATALOGS AND DRAWING.exe
Dahili AdStub.exe
Taille48.640 byte (~47 KB)
RuntimeC# / .NET Framework 4 Client Profile
Versiyon1.0.0.0 (tum alanlarda)

Sosyal Muhendislik

HedefKurumsal kullanicilari (tedarik/satis departmanlari)
Kimlik"SAMPLE CATALOGS AND DRAWING" — katalog/cizim talebi gibi gozuken is e-postasi
DagitimE-posta eki (icin talep kimligine sahip exe)

C2 Altyapisi

C2 Domaini: hubscore.io
C2 Domainhubscore.io (Statik string — gizleme yok)
ProtokolTCP + TLS (SSL stream) — AsyncRAT agla katmani
PortEncrypted config icerisinde (runtime'da cozuluyor)

Ag Protokolu (AsyncRAT)

  • AsyncClient — C2 baglanti sinifi (AsyncRAT kaynak kodundan)
  • SendSync / IsConnected / KeepAlive — baglanti durum takibi
  • Ping / ActivatePong — heartbeat mekanizmasi
  • SslClient / SslStream — TLS/SSL sarmalanmis C2 iletisimi
  • HeaderSize / Buffer / Offset — paket yapisi

Persistence Teknikleri

  • Task Scheduler: schtasks /create /f /sc onlogon /rl highest — logon'da en yuksek yetkiyle calisma
  • Registry Run Key: String ters cevrili olarak saklanmis: \nuR\noisreVtnerruC\swodniW\tfosorciM\erawtfoS = Software\Microsoft\Windows\CurrentVersion\Run
  • AppData persistence: %AppData% yoluna kopyalanma

Anti-Analiz Teknikleri

TeknikDetay
VM Tespiti (WMI)Select * from Win32_ComputerSystem — Manufacturer: vmware/VirtualBox/VIRTUAL kontrol
Sandboxie TespitiSbieDll.dll varligi kontrol
Debugger TespitiCheckRemoteDebuggerPresent
String GizlemeRegistry yolunu tersine cevirerek saklamis
Self-DeleteBatch dosya: timeout 3 > NUL; DEL "..." /f /q
Process KorumaRtlSetProcessIsCritical — sonlandirma engelliyor

Sifreleme / Kriptografi

  • AES (AesCryptoServiceProvider), RSA (RSACryptoServiceProvider), HMAC-SHA256 — cok katmanli sifreleme
  • Gizli yapilandirilmis config bloklari: birden fazla RSA sifreli base64 blob
  • Gizlenmis config icinde C2 adresi, port, mutex isimleri bulunuyor

AV Altyapi Bilgi Toplama

  • Select * from AntivirusProduct — kurulu AV listesi
  • displayName — her AV ismi topluyor
  • 64-bit/32-bit OS tespiti

IOC'lar

SHA256ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
C2 Domainhubscore.io
Dahili AdStub.exe
PersistenceHKCU\Software\Microsoft\Windows\CurrentVersion\Run + schtasks

Teknik Ozet

"SAMPLE CATALOGS AND DRAWING.exe" isimiyle kurumsal kullanicilari hedef alan bu kucuk (47 KB) AsyncRAT stub'i, dahilen Stub.exe olarak etiketlenmis ve hubscore.io C2 adresine baglanmaktadir. Standart AsyncRAT ag protokolunu (SslStream, KeepAlive, Ping/Pong) kullanmakla birlikte, kayit defteri yolunu ters cevirme ve schtasks ile yuksek yetkili kalici gorev kurma gibi ek kachilma teknikleri icermektedir. AV ve VM varligini WMI sorgulariyla tespit eder, tespit edilirse durmaktadir. Cok katmanli AES+RSA sifreleme kullanarak C2 portunu ve diger config'i saklar.

AsyncRAT — Profil du malware

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

Type de malware
RAT
Langage de programmation
.NET C#
Protocole C2
TCP/SSL
Systèmes ciblés
Windows
Aussi connu sous (AKA)
AsyncClient

Détails techniques

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Attribution / Acteur de la menace

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Capacités et comportement

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Liste IOC (4 indicateurs)

IOC — AsyncRAT
# SHA256 ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1 # DOMAIN hubscore.io # REGISTRY HKCU\Software\Microsoft\Windows\CurrentVersion\Run # FILEPATH %AppData%\Stub.exe
TypeValeurNote
sha256 ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
domain hubscore.io
registry HKCU\Software\Microsoft\Windows\CurrentVersion\Run
filepath %AppData%\Stub.exe

Serveurs C2 (8 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
asyncratstubc2-hubscore-iobusiness-lurekatalogschtasksanti-vmstatik-analiztls