AsyncRAT Nedir?
AsyncRAT, ilk olarak 2019 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. .NET/C# programlama dili ile geliştirilmiş olup C2 iletişiminde TCP/AES protokolünü kullanmaktadır.
AsyncRAT, 2019 yilinda açik kaynak kodlu olarak yayımlanan ve sonradan yeraltı toplulukları tarafindan yoğun bicimde kullanilagelen .NET tabanli bir uzaktan yonetim aracidir. SSL sifreleme ile C2 iletisimi kuran AsyncRAT, keylogger, video yakalama, HVNCnc (Hidden VNC), process injection ve UAC bypass kabiliyetlerine sahiptir. Açik kaynak olması nedeniyle pek çok tehdit aktörü tarafindan özellestir
Atıf / Tehdit Aktörü: Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.
Teknik Detay: C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu
Nasıl Bulaşır?
- Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
- Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
- Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
- Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
- USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma
Enfeksiyon Belirtileri
- Sistem performansında ani ve açıklanamayan düşüş
- Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
- Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
- Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
- Webcam/mikrofon izinsiz etkinleşiyor, tuş vuruşları gecikiyor
파일 Hash 값leri (Antivirüs Tespiti İçin)
Gerçek AsyncRAT örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:
| Hash 값i | 유형 | Not |
|---|---|---|
| 6fcafc042d3145a62fe33002b974a1d2dd36c03c3d0083a5b64697c33b592869 | SHA256 | Unknown statik analiz |
| 1457e5a3b288fc4fc160a732472d591147ca44a4567f9bba41ae83dd60cab399 | SHA256 | Unknown statik analiz |
| 329fe66050a30e4ac33af24c1fef4486fee65da730d95fb6d51b9054a24c365a | SHA256 | Unknown statik analiz |
| 352f25c650a50bccf19c8a5e427483c1a883dc1880b3004865a8538377aa8a19 | SHA256 | Unknown statik analiz |
| 45a576381409b82fb40689b7ddfa0b7ab3fe774e81d4a2da9a98435a2f2207a5 | SHA256 | Unknown statik analiz |
| c72fe09960cedfe3ae01ed1419c884a8 | MD5 | Unknown statik analiz |
| 7dc008ca72ed37df277901fa99d96f6e | MD5 | Unknown statik analiz |
| 4fdce94b52db5a3aca4d1209c8766efb | MD5 | Unknown statik analiz |
| c6f6603e34cdb72c6b49adaa5889ecff | MD5 | Unknown statik analiz |
| f509347c30d44b7056dff8021bad954d | MD5 | Unknown statik analiz |
Adım Adım Kaldırma Rehberi
Adım 1 — İnternet Bağlantısını Hemen Kesin
C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.
Adım 2 — 신뢰도li Modda Başlatın
Windows'u Ağ Destekli 신뢰도li Mod'da başlatın:
- Win + R →
msconfig→ Önyükleme sekmesi → "신뢰도li önyükleme" → "Ağ" → Tamam → Yeniden Başlat - Veya başlangıçta F8 (eski Windows sürümleri)
Adım 3 — AsyncRAT Sürecini Sonlandırın
Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.
Adım 4 — Antivirüs ile Tam Sistem Taraması
Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):
- Malwarebytes
- RKill
- ESET Online Scanner
Adım 5 — Tarayıcıları Sıfırlayın
Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:
- Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
- Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
- Edge: Ayarlar → Ayarları Sıfırla
신뢰도lik İhlali Sonrası Yapılacaklar
RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:
- Tüm hesap şifrelerini farklı bir cihazdan değiştirin
- Webcam ve mikrofonu fiziksel olarak kapatın (bant veya kapak)
- Banka ekstrelerinizi şüpheli işlemler için inceleyin
- Sosyal çevrenizi kimlik avı girişimlerine karşı uyarın
- Kurumsal ortamda IT güvenlik ekibine ve CERT-TR'ye (0850 404 1177) bildirin
Yeniden Enfeksiyonu Önleme
- İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
- 신뢰도ilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
- E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
- Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
- Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
- Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
- Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun
Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.
AsyncRAT — 악성코드 프로필
AsyncRAT, 2019'da acik kaynak olarak yayimlanan C# tabanli RAT ailesidir. Ekran yakalama, keylogger, dosya islemleri, HVNC ve plugin sistemine sahiptir. C2 AES-128-CBC ile sifrelenir, TCP uzerinden calisir. JS/PDF yemi ile dagitilir.
기술 세부 정보
C# .NET, AES-128-CBC sifreleme, TCP port 6606/4449 (varsayilan), Mutex kontrol, Runtime assembly loading, Anti-analysis (VM check, Process listesi), HVNC, Keylogger, Stealer, Botnet modulu
귀속 / 위협 행위자
Acik kaynak - orjinal gelistirici GitHub'da yayinladi; surekli siber suclu toplulugu tarafindan kullanilmaktadir. APT operasyonlari da dahil olmak uzere cok sayida farkli tehdit aktoru kullanmaktadir.
기능 및 동작
C2 서버 (이 패밀리에 대해 8개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
| microsoft.com | domain | — | TCP | active | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.