Uhm... ma perché vuoi usare le regex? La separazione tra header e body è semplicemente due a-capi di fila (che puoi facilmente individuare con String.Find o String.Split).
Il corpo della richiesta dovrebbe essere già di suo in JSON, per cui dovrai necessariamente girarlo ad un parser JSON, che provvederà da sé a segnalare se il contenuto è malformato (quindi non ha molto senso che lo stia a validare sommariamente il tuo codice con una regex).

... l'unica cosa che non mi torna è quel "c4", che non mi pare sia JSON valido (né credo sia previsto dalle specifiche OAuth2). È un errore di copiatura o il response è effettivamente così?