İlk olarak 2014 yılında xRAT takma adı altında ortaya çıkan QuasarRAT, Windows ortamları için yasal bir uzaktan yönetim aracı olarak yaşam döngüsüne başladı.
Ancak son on yılda açık kaynak yapısı ve erişilebilirliği, siber suçlular için güçlü bir araca dönüşmesini kolaylaştırdı.
Kötü amaçlı yazılım, C# kullanılarak .NET Framework üzerine oluşturulduğundan, veri hırsızlığından ağa izinsiz girişlere kadar çeşitli kötü amaçlı kampanyalara karşı oldukça uyarlanabilir hale geliyor.
Tehdit aktörleri, yetkisiz gözetim ve siber casusluk operasyonları da dahil olmak üzere geniş bir yelpazedeki izinsiz faaliyetler için QuasarRAT’tan yararlanıyor.
Yetenekleri arasında sistem bilgilerinin çıkarılması, dosyaların yönetilmesi, tuş vuruşlarının günlüğe kaydedilmesi ve rastgele komutların yürütülmesi yer alır.
Bu özellikler, saldırganların güvenliği ihlal edilmiş sistemler üzerinde kalıcı kontrol sahibi olmasına olanak tanır ve bu da onu hem bağımsız bilgisayar korsanları hem de ağları ihlal etmek için hafif, özelleştirilebilir bir yük arayan devlet bağlantılı gruplar için tercih edilen bir seçenek haline getirir.
Sekoia güvenlik analistleri, QuasarRAT’ın popülaritesinin, değiştirilme kolaylığından ve kaynak kodunun GitHub gibi platformlarda bulunmasından kaynaklandığını belirledi.
Bu erişilebilirlik, saldırganların kötü amaçlı yazılımı özel işlevlerle yeniden derleyerek belirli hedeflere göre uyarlamasına olanak tanır.
Kötü amaçlı yazılımın etkisi, sürekli kod uyarlama yoluyla temel algılama mekanizmalarından kaçma yeteneği sayesinde daha da güçleniyor ve bu da onun kalıcı bir tehdit olarak kalmasını sağlıyor.
Temel tehlike çok yönlülüğünde yatmaktadır. İster finansal hırsızlık ister istihbarat toplamak için kullanılsın, QuasarRAT çeşitli saldırı zincirlerine sorunsuz bir şekilde entegre olur.
.webp)
Tasarımı, yeni özelliklerin eklenmesini destekleyerek peyzajda önemli bir tehdit olarak kalmasını sağlar.
Şifrelenmiş Yapılandırma ve Gizleme Paketini Açma
En yeni QuasarRAT örnekleri, yapılandırma verilerini gizlemek için gelişmiş gizleme uygular. Standart sürümler ayarları düz metin halinde bırakabilirken, kötü amaçlı değişkenler sıklıkla yoğun gizleme kullanır.
Bu varyantlar, Komuta ve Kontrol (C2) sunucuları gibi kritik verileri güvence altına almak için CBC modunda AES-256 şifrelemesini kullanır. Şifre çözme anahtarı genellikle Aes256 sınıfında bulunan sabit kodlanmış bir tuz değerine sahip PBKDF2 kullanılarak türetilir.
Bu savunmaları aşmak için analistler, Orta Dil (IL) kodunu incelemek üzere Python ve dnlib gibi .NET kitaplıklarının bir kombinasyonunu kullanıyor.
.webp)
Çıkarma işlemi, AES anahtarının başlatıldığı statik oluşturucunun (.cctor) bulunmasını içerir.
Araştırmacılar, IL talimatlarını analiz ederek (özellikle ldstr ve stsfld gibi işlem kodlarını arayarak) kriptografik materyali kurtarabilirler. Bu, AES anahtarının ve tuzun yürütme olmadan alınmasına olanak tanır.
.webp)
Yoğun şekilde gizlenmiş örnekler için, şifre çözme rutini, Settings sınıfı içindeki yöntem çağrılarının sayılmasıyla tanımlanır. Şifre çözme işlevi ve tuz izole edildikten sonra, yapılandırma dizelerinin şifresi çözülerek saldırganın altyapısı ortaya çıkarılabilir. Bu, uzlaşma göstergelerini gizleme girişimlerine etkili bir şekilde karşı koyar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
