Genel Bakış

Pulsar RAT, .NET ile yazılmış çok işlevli bir uzaktan erişim truva atıdır. Chrome/Firefox parola çalma, webcam streaming, keylogger, ekran görüntüsü ve IP coğrafi konumlandırma gibi kapsamlı yeteneklere sahiptir. Eigenschaftle Chrome App-Bound Encryption bypass tekniği dikkat çekmektedir.

Teknik Analiz

Chrome App-Bound Encryption Bypass

Chrome 127+ sürümlerinde şifreler AES-256 ile App-Bound Encryption (ABE) yöntemiyle korunmaktadır. Pulsar bu korumayı atlayabilmek için şu akışı kullanır:

Conhost --headless cmd.exe /c start chrome.exe --start-maximized --no-sandbox
  --allow-no-sandbox-job --disable-3d-apis --disable-gpu --disable-d3d11
  --user-data-dir=[path]
  • app_bound_encrypted_key → ABE anahtarına doğrudan erişim
  • Chrome ve Firefox önce taskkill /IM chrome.exe /F ile kapatılır

Tarayıcı Credential Çalma

  • Chrome: Browsers\passwords.json, Browsers\cookies_netscape.txt
  • Firefox: PK11SDR_Decrypt (NSS kriptografi — Firefox parola deşifre)
  • Chromium tabanlı tüm tarayıcılar: SearchForChromiumBrowsers, FindChromiumProfiles

Webcam ve Keylogger

  • AForge.Video.DirectShow → DirectShow ile webcam erişimi
  • StartWebcamStreaming, GetWebcamResponse, GetAvailableWebcamsResponse
  • Gma.System.MouseKeyHook → klavye/fare hook
  • GetKeyloggerLogsDirectoryResponse
  • SharpDX (DirectX 11) → ekran görüntüsü/video yakalama

Ek Yetenekler

  • IP Coğrafi Konum: https://api.ipify.org/, https://ipwho.is/
  • Datei indirme: GetDownloads
  • Uzak çalıştırma: Execute, ExecuteProcess, Run
  • Kaldırma: Uninstall
  • Bellek yazma: WriteProcessMemory

Gizleme ve Kurulum

  • Costura.Fody: tüm DLL'ler EXE içine gömülü
  • Protobuf-net: binary serialization ile sunucu iletişimi
  • Self-delete batch: @echo off → del /a /q /f "[exe]" → timeout /T 5
  • Registry: chcp 65001 ile UTF-8 kodlama

Teknik Eigenschaftler

EigenschaftWert
Platform.NET 4.0, Costura embedded
ŞifrelemeAES-256 + BCrypt
StealerChrome ABE bypass, Firefox PK11SDR
WebcamAForge.Video.DirectShow
KeyloggerGma.System.MouseKeyHook
TanımlamaPulsar Client (dahili ad)

IOC Özeti

  • IP Tespiti: api.ipify.org, ipwho.is
  • İç Ad: Pulsar Client / Client.exe
  • SHA256: 8df4cc8b9c69f45705eca485d0b21593995aaca8d86e4c6d2a692a06b576aebb

IOC-Liste (3 Indikatoren)

IOC — Pulsar RAT
# SHA256 8df4cc8b9c69f45705eca485d0b21593995aaca8d86e4c6d2a692a06b576aebb # DOMAIN api.ipify.org # DOMAIN ipwho.is
TypWertBemerkung
sha256 8df4cc8b9c69f45705eca485d0b21593995aaca8d86e4c6d2a692a06b576aebb
domain api.ipify.org
domain ipwho.is
Tags
ratpulsardotnetchromefirefoxaes256bcryptwebcamkeyloggersharpdxaforgecosturaprotobufstealerapp-bound-encryption