Bu rehber, gerçek AsyncRAT örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

AsyncRAT Nedir?

AsyncRAT, ilk olarak 2019 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. .NET/C# programlama dili ile geliştirilmiş olup C2 iletişiminde TCP/AES protokolünü kullanmaktadır.

AsyncRAT, 2019 yilinda açik kaynak kodlu olarak yayımlanan ve sonradan yeraltı toplulukları tarafindan yoğun bicimde kullanilagelen .NET tabanli bir uzaktan yonetim aracidir. SSL sifreleme ile C2 iletisimi kuran AsyncRAT, keylogger, video yakalama, HVNCnc (Hidden VNC), process injection ve UAC bypass kabiliyetlerine sahiptir. Açik kaynak olması nedeniyle pek çok tehdit aktörü tarafindan özellestir

Atıf / Tehdit Aktörü: Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

Teknik Detay: C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • Webcam/mikrofon izinsiz etkinleşiyor, tuş vuruşları gecikiyor

파일 Hash 값leri (Antivirüs Tespiti İçin)

Gerçek AsyncRAT örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash 값i유형Not
6fcafc042d3145a62fe33002b974a1d2dd36c03c3d0083a5b64697c33b592869SHA256Unknown statik analiz
1457e5a3b288fc4fc160a732472d591147ca44a4567f9bba41ae83dd60cab399SHA256Unknown statik analiz
329fe66050a30e4ac33af24c1fef4486fee65da730d95fb6d51b9054a24c365aSHA256Unknown statik analiz
352f25c650a50bccf19c8a5e427483c1a883dc1880b3004865a8538377aa8a19SHA256Unknown statik analiz
45a576381409b82fb40689b7ddfa0b7ab3fe774e81d4a2da9a98435a2f2207a5SHA256Unknown statik analiz
c72fe09960cedfe3ae01ed1419c884a8MD5Unknown statik analiz
7dc008ca72ed37df277901fa99d96f6eMD5Unknown statik analiz
4fdce94b52db5a3aca4d1209c8766efbMD5Unknown statik analiz
c6f6603e34cdb72c6b49adaa5889ecffMD5Unknown statik analiz
f509347c30d44b7056dff8021bad954dMD5Unknown statik analiz

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — 신뢰도li Modda Başlatın

Windows'u Ağ Destekli 신뢰도li Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "신뢰도li önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — AsyncRAT Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes
  • RKill
  • ESET Online Scanner

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

신뢰도lik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

  • Tüm hesap şifrelerini farklı bir cihazdan değiştirin
  • Webcam ve mikrofonu fiziksel olarak kapatın (bant veya kapak)
  • Banka ekstrelerinizi şüpheli işlemler için inceleyin
  • Sosyal çevrenizi kimlik avı girişimlerine karşı uyarın
  • Kurumsal ortamda IT güvenlik ekibine ve CERT-TR'ye (0850 404 1177) bildirin

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • 신뢰도ilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

AsyncRAT — 악성코드 프로필

AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.

악성코드 유형
RAT
프로그래밍 언어
.NET C#
C2 프로토콜
TCP/SSL
대상 시스템
Windows
다른 이름 (AKA)
AsyncClient

기술 세부 정보

C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu

귀속 / 위협 행위자

Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

C2 서버 (이 패밀리에 대해 8개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
temizlikkaldırmaasyncratratvirüs temizleme