Manuel Statik Analiz — QuasarRAT | Tehdit: MOYEN

Fichier Kimliği

SHA2568df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Nom du fichierprick.exe (kaba/argo geliştirici adı)
Taille920.576 byte (920KB)
String Sayisi7.582

Kaba Nom du fichier: Geliştirici Davranışı

prick.exe
-- İngilizce argo/kaba kelime kullanımı
-- Geliştirici test binary'lerinde görülen agresif isimlendirme
-- SmokeLoader (autoruns.exe), PrivateLoader (sysmon.exe) → farklı strateji
-- Bu örnek hiç gizleme yapmıyor: iç test veya test binary sızdı

Syscall Seviyesi Anti-Debug

Gelişmiş Teknik: Doğrudan NT syscall çağrısı!
SysNtQuerySystemInformation2   -- sistem bilgisi syscall
SysNtQueryInformationProcess2  -- process bilgisi syscall
-- "Sys" prefix = NtDll bypass → doğrudan syscall instruction!
-- Windows API hook'larını atlıyor (EDR bypass!)
-- Syscall numaraları dinamik resolve: NTDLL'den okunuyor
-- Normal WinAPI: kernel32 → ntdll → syscall
-- Bu: doğrudan syscall → ntdll bypass → EDR kör!

Şifrelenmiş Kimlik Bilgisi Alanları

DHwidFDFPwjuob              -- QuasarRAT instance mutex (benzersiz!)
<EncryptedPassword>k__BackingField  -- .NET property backing field
<EncryptedUsername>k__BackingField  -- .NET property backing field
-- QuasarRAT kimlik bilgilerini şifrelenmiş property'de saklıyor
-- k__BackingField = C# auto-property compiler üretimi

IOC

SHA2568df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
MutexDHwidFDFPwjuob
Anti-DebugSysNtQueryInformationProcess2 (direct syscall)

Quasar3 — Profil du malware

QuasarRAT 2014 open source C#. prick.exe kaba test adi. DHwidFDFPwjuob mutex. SysNtQuery syscall EDR bypass. Sifrelenmis credentials.

Type de malware
RAT
Langage de programmation
C#/.NET
Protocole C2
TCP
Systèmes ciblés
Küresel

Capacités et comportement

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Liste IOC (1 indicateurs)

IOC — Quasar3
# SHA256 8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValeurNote
sha256 8df4cc8b9c69f457920576b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f len=63
Tags
quasarratprick-exe-crude-namedhwidfdfpwjuob-mutexsysntqueryinformationprocess2-syscallsyscall-anti-debugencrypted-credentials