Manuel Statik Analiz (LLM Okumali) — AsyncRAT Stub / Business-Lure | Tehdit: CRITICAL
Etiket Notu: MalwareBazaar bu ornegi redline olarak etiketledi, ancak string analizi AsyncRAT aglama protokolunu (AsyncClient, SendSync, KeepAlive, Ping, ActivatePong, SslClient, TcpClient) onayladi. Bu ornek muhtemelen AsyncRAT stub'i veya AsyncRAT'i kullanan ozel bir C# RAT'tir.

Archivo Kimligi

SHA256ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
Orijinal AdSAMPLE CATALOGS AND DRAWING.exe
Dahili AdStub.exe
Tamaño48.640 byte (~47 KB)
RuntimeC# / .NET Framework 4 Client Profile
Versiyon1.0.0.0 (tum alanlarda)

Sosyal Muhendislik

HedefKurumsal kullanicilari (tedarik/satis departmanlari)
Kimlik"SAMPLE CATALOGS AND DRAWING" — katalog/cizim talebi gibi gozuken is e-postasi
DagitimE-posta eki (icin talep kimligine sahip exe)

C2 Altyapisi

C2 Domaini: hubscore.io
C2 Domainhubscore.io (Statik string — gizleme yok)
ProtokolTCP + TLS (SSL stream) — AsyncRAT agla katmani
PortEncrypted config icerisinde (runtime'da cozuluyor)

Ag Protokolu (AsyncRAT)

  • AsyncClient — C2 baglanti sinifi (AsyncRAT kaynak kodundan)
  • SendSync / IsConnected / KeepAlive — baglanti durum takibi
  • Ping / ActivatePong — heartbeat mekanizmasi
  • SslClient / SslStream — TLS/SSL sarmalanmis C2 iletisimi
  • HeaderSize / Buffer / Offset — paket yapisi

Persistence Teknikleri

  • Task Scheduler: schtasks /create /f /sc onlogon /rl highest — logon'da en yuksek yetkiyle calisma
  • Registry Run Key: String ters cevrili olarak saklanmis: \nuR\noisreVtnerruC\swodniW\tfosorciM\erawtfoS = Software\Microsoft\Windows\CurrentVersion\Run
  • AppData persistence: %AppData% yoluna kopyalanma

Anti-Analiz Teknikleri

TeknikDetay
VM Tespiti (WMI)Select * from Win32_ComputerSystem — Manufacturer: vmware/VirtualBox/VIRTUAL kontrol
Sandboxie TespitiSbieDll.dll varligi kontrol
Debugger TespitiCheckRemoteDebuggerPresent
String GizlemeRegistry yolunu tersine cevirerek saklamis
Self-DeleteBatch dosya: timeout 3 > NUL; DEL "..." /f /q
Process KorumaRtlSetProcessIsCritical — sonlandirma engelliyor

Sifreleme / Kriptografi

  • AES (AesCryptoServiceProvider), RSA (RSACryptoServiceProvider), HMAC-SHA256 — cok katmanli sifreleme
  • Gizli yapilandirilmis config bloklari: birden fazla RSA sifreli base64 blob
  • Gizlenmis config icinde C2 adresi, port, mutex isimleri bulunuyor

AV Altyapi Bilgi Toplama

  • Select * from AntivirusProduct — kurulu AV listesi
  • displayName — her AV ismi topluyor
  • 64-bit/32-bit OS tespiti

IOC'lar

SHA256ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
C2 Domainhubscore.io
Dahili AdStub.exe
PersistenceHKCU\Software\Microsoft\Windows\CurrentVersion\Run + schtasks

Teknik Ozet

"SAMPLE CATALOGS AND DRAWING.exe" isimiyle kurumsal kullanicilari hedef alan bu kucuk (47 KB) AsyncRAT stub'i, dahilen Stub.exe olarak etiketlenmis ve hubscore.io C2 adresine baglanmaktadir. Standart AsyncRAT ag protokolunu (SslStream, KeepAlive, Ping/Pong) kullanmakla birlikte, kayit defteri yolunu ters cevirme ve schtasks ile yuksek yetkili kalici gorev kurma gibi ek kachilma teknikleri icermektedir. AV ve VM varligini WMI sorgulariyla tespit eder, tespit edilirse durmaktadir. Cok katmanli AES+RSA sifreleme kullanarak C2 portunu ve diger config'i saklar.

AsyncRAT — Perfil del malware

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

Tipo de malware
RAT
Lenguaje de programación
.NET C#
Protocolo C2
TCP/SSL
Sistemas objetivo
Windows
También conocido como (AKA)
AsyncClient

Detalles técnicos

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Atribución / Actor de amenaza

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Capacidades y comportamiento

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Lista IOC (4 indicadores)

IOC — AsyncRAT
# SHA256 ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1 # DOMAIN hubscore.io # REGISTRY HKCU\Software\Microsoft\Windows\CurrentVersion\Run # FILEPATH %AppData%\Stub.exe
TipoValorNota
sha256 ab82c433b4a5e763de3412ed2e6bde3a0cef15a69e75a57d7acb1d1b88ef97e1
domain hubscore.io
registry HKCU\Software\Microsoft\Windows\CurrentVersion\Run
filepath %AppData%\Stub.exe

Servidores C2 (8 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
asyncratstubc2-hubscore-iobusiness-lurekatalogschtasksanti-vmstatik-analiztls