DBatLoader Nedir?
DBatLoader, ilk olarak 2020 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. .NET/C# programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.
DBatLoader, Zararlı Yükleyici (Loader) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, hedef sisteme ek zararlı yazılım yüklemek amacıyla tasarlanmış modüler bir yükleyici (loader) olarak tespit edilmiştir. Genellikle spam kampanyaları veya drive-by download saldırıları aracılığıyla dağıtılan bu yükleyici, sisteme sızdıktan sonra bank
Atıf / Tehdit Aktörü: NULL
Teknik Detay: Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
Nasıl Bulaşır?
- Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
- Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
- Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
- Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
- USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma
Enfeksiyon Belirtileri
- Sistem performansında ani ve açıklanamayan düşüş
- Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
- Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
- Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
파일 Hash 값leri (Antivirüs Tespiti İçin)
Gerçek DBatLoader örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:
| Hash 값i | 유형 | Not |
|---|---|---|
| b04aa5d0ede5653b20f6db6d6df0020e396dfe8688f2c4712cff6dccce2002d4 | SHA256 | NULL |
| aa37893e58d3d6dcff3440dcbb7774289f913b6cf83a29d1af7944336e2cb797 | SHA256 | NULL |
| 93dac8b7a45c2a5f23e51cbbc97a74694022470b18d802ae8e742efb8bb24b74 | SHA256 | NULL |
| 8a3770e2dd1e9c3b2c2bb629be22beb1d08f1ebd55ceb1dcfe9da8b17ece34f8 | SHA256 | NULL |
| 109530b5a04dca7d4bb6a646e30574a960d76abe954751614d396417bae9c463 | SHA256 | NULL |
| 69cb974bb2f071599b7d152a45a9bb0f | MD5 | NULL |
| 322929b052d6bccfe706da919a4c7b72 | MD5 | NULL |
| 3261464f2586814acaa4d10127fdeb99 | MD5 | NULL |
| 763002ce2eb549c4102ef6a1971c7a33 | MD5 | NULL |
| 1b8c67d564ff63fa1aa3e83297538eb4 | MD5 | NULL |
Adım Adım Kaldırma Rehberi
Adım 1 — İnternet Bağlantısını Hemen Kesin
C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.
Adım 2 — 신뢰도li Modda Başlatın
Windows'u Ağ Destekli 신뢰도li Mod'da başlatın:
- Win + R →
msconfig→ Önyükleme sekmesi → "신뢰도li önyükleme" → "Ağ" → Tamam → Yeniden Başlat - Veya başlangıçta F8 (eski Windows sürümleri)
Adım 3 — DBatLoader Sürecini Sonlandırın
Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.
Adım 4 — Antivirüs ile Tam Sistem Taraması
Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):
- Malwarebytes Anti-Malware
- ESET Online Scanner
- RKill
Adım 5 — Tarayıcıları Sıfırlayın
Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:
- Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
- Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
- Edge: Ayarlar → Ayarları Sıfırla
Yeniden Enfeksiyonu Önleme
- İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
- 신뢰도ilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
- E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
- Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
- Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
- Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
- Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun
Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.
DBatLoader — 악성코드 프로필
DBatLoader/ModiLoader. PaymentXAdvice ZIP lure. Brazilian Portuguese targeting. pt-BR locale.
기술 세부 정보
Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri
기능 및 동작
C2 서버 (이 패밀리에 대해 3개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| 176.32.34.88 | ip | 80 | HTTP | active | UA |
| 194.33.45.78 | ip | 443 | HTTPS | inactive | CZ |
| 85.195.206.19 | ip | 80 | HTTP | inactive | AT |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.