Etiket Notu: MalwareBazaar bu ornegi redline olarak etiketledi,
ancak string analizi AsyncRAT aglama protokolunu (AsyncClient, SendSync,
KeepAlive, Ping, ActivatePong, SslClient, TcpClient) onayladi. Bu ornek muhtemelen
AsyncRAT stub'i veya AsyncRAT'i kullanan ozel bir C# RAT'tir.
"SAMPLE CATALOGS AND DRAWING.exe" isimiyle kurumsal kullanicilari hedef alan bu kucuk (47 KB)
AsyncRAT stub'i, dahilen Stub.exe olarak etiketlenmis ve hubscore.io C2 adresine
baglanmaktadir. Standart AsyncRAT ag protokolunu (SslStream, KeepAlive, Ping/Pong) kullanmakla
birlikte, kayit defteri yolunu ters cevirme ve schtasks ile yuksek yetkili kalici gorev kurma gibi
ek kachilma teknikleri icermektedir. AV ve VM varligini WMI sorgulariyla tespit eder, tespit edilirse
durmaktadir. Cok katmanli AES+RSA sifreleme kullanarak C2 portunu ve diger config'i saklar.
AsyncRAT — Profil du malware
AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.
Type de malware
RAT
Langage de programmation
.NET C#
Protocole C2
TCP/SSL
Systèmes ciblés
Windows
Aussi connu sous (AKA)
AsyncClient
Détails techniques
C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu
Attribution / Acteur de la menace
Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.
Serveurs C2
(8 serveurs enregistrés pour cette famille)
Adresse
Type
Port
Protocole
Statut
Pays
microsoft.com
domain
—
TCP
active
—
microsoft.com
domain
—
TCP
active
—
microsoft.com
domain
—
TCP
active
—
microsoft.com
domain
—
TCP
active
—
microsoft.com
domain
—
TCP
active
—
microsoft.com
domain
—
TCP
active
—
microsoft.com
domain
—
TCP
active
—
microsoft.com
domain
—
TCP
active
—
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.