Bu rehber, gerçek Arechclient örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

Arechclient Nedir?

Arechclient, ilk olarak 2020 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C# programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

Arechclient, Infostealer kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kişisel verileri toplayan bir bilgi hırsızı (infostealer) olarak sınıflandırılmıştır. Tarayıcı kayıtlı parolaları, çerezler, kripto para cüzdanı verileri ve oturum tokenları bu zararlı yazılımın birincil hedefl

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Infostealer ailesi: TCP C2 protokolu, kalicilik mekanizmasi (Registry/Task Scheduler), keylogger, ekran goruntüsü, uzak kabuk, dosya yoneticisi, process manager, anti-analiz kontrolleri

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Arechclient örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
84618f1d73e26d7111be332a7e15af1c97d4aba379b1e431abe18f6da6c0b032SHA256NULL
925ad6253e84a28e0e2538b7492a991b0224a88f334f586880ade9ef6bbc59f2SHA256NULL
8ab13a8d2d4fa6f6131978f7c0afe966d1e5374b1a23982c2d4a8b695cfe01b4SHA256NULL
1a89835231e61d5e73907a7c6c723499afa93dbc9b43dfbcc983c3abb6000e59SHA256NULL
a5fd496c4bc03c3d778d2ec4836a67b4d66f75781ec0cf18af06475aab9b0cb7SHA256NULL
0cbac84dffe0ad087150afd7eb6a7c67MD5NULL
fcdd277930536b5d50c39f7152423095MD5NULL
c779a6eaa654cd63e6311ba896d47511MD5NULL
d9b59c95d3acf5fbddd7aa47f525bbe4MD5NULL
a758f75e86bde47fa36f94c5fce9f700MD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Arechclient Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.