Genel Bakış
Pulsar RAT, .NET ile yazılmış çok işlevli bir uzaktan erişim truva atıdır. Chrome/Firefox parola çalma, webcam streaming, keylogger, ekran görüntüsü ve IP coğrafi konumlandırma gibi kapsamlı yeteneklere sahiptir. Propiedadle Chrome App-Bound Encryption bypass tekniği dikkat çekmektedir.
Teknik Analiz
Chrome App-Bound Encryption Bypass
Chrome 127+ sürümlerinde şifreler AES-256 ile App-Bound Encryption (ABE) yöntemiyle korunmaktadır. Pulsar bu korumayı atlayabilmek için şu akışı kullanır:
Conhost --headless cmd.exe /c start chrome.exe --start-maximized --no-sandbox
--allow-no-sandbox-job --disable-3d-apis --disable-gpu --disable-d3d11
--user-data-dir=[path]
app_bound_encrypted_key→ ABE anahtarına doğrudan erişim- Chrome ve Firefox önce
taskkill /IM chrome.exe /File kapatılır
Tarayıcı Credential Çalma
- Chrome:
Browsers\passwords.json,Browsers\cookies_netscape.txt - Firefox:
PK11SDR_Decrypt(NSS kriptografi — Firefox parola deşifre) - Chromium tabanlı tüm tarayıcılar:
SearchForChromiumBrowsers,FindChromiumProfiles
Webcam ve Keylogger
AForge.Video.DirectShow→ DirectShow ile webcam erişimiStartWebcamStreaming,GetWebcamResponse,GetAvailableWebcamsResponseGma.System.MouseKeyHook→ klavye/fare hookGetKeyloggerLogsDirectoryResponseSharpDX(DirectX 11) → ekran görüntüsü/video yakalama
Ek Yetenekler
- IP Coğrafi Konum:
https://api.ipify.org/,https://ipwho.is/ - Archivo indirme:
GetDownloads - Uzak çalıştırma:
Execute,ExecuteProcess,Run - Kaldırma:
Uninstall - Bellek yazma:
WriteProcessMemory
Gizleme ve Kurulum
- Costura.Fody: tüm DLL'ler EXE içine gömülü
- Protobuf-net: binary serialization ile sunucu iletişimi
- Self-delete batch:
@echo off → del /a /q /f "[exe]" → timeout /T 5 - Registry:
chcp 65001ile UTF-8 kodlama
Teknik Propiedadler
| Propiedad | Valor |
|---|---|
| Platform | .NET 4.0, Costura embedded |
| Şifreleme | AES-256 + BCrypt |
| Stealer | Chrome ABE bypass, Firefox PK11SDR |
| Webcam | AForge.Video.DirectShow |
| Keylogger | Gma.System.MouseKeyHook |
| Tanımlama | Pulsar Client (dahili ad) |
IOC Özeti
- IP Tespiti: api.ipify.org, ipwho.is
- İç Ad: Pulsar Client / Client.exe
- SHA256:
8df4cc8b9c69f45705eca485d0b21593995aaca8d86e4c6d2a692a06b576aebb
Lista IOC (3 indicadores)
IOC — Pulsar RAT
# SHA256
8df4cc8b9c69f45705eca485d0b21593995aaca8d86e4c6d2a692a06b576aebb
# DOMAIN
api.ipify.org
# DOMAIN
ipwho.is
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 8df4cc8b9c69f45705eca485d0b21593995aaca8d86e4c6d2a692a06b576aebb | |
| domain | api.ipify.org | |
| domain | ipwho.is |