Bu rehber, gerçek DanaBot örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

DanaBot Nedir?

DanaBot, ilk olarak 2020 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. Delphi programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

DanaBot, Loader kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, hedef sisteme ek zararlı yazılım yüklemek amacıyla tasarlanmış modüler bir yükleyici (loader) olarak tespit edilmiştir. Spam kampanyaları veya drive-by download saldırıları aracılığıyla dağıtılan bu yükleyici, sisteme sızdıktan sonra bankacılık trojanları, fidye yazılımla

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek DanaBot örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
5fcb32e1f7ed6c0419b687398b2856cb1f5f7040c3eb7585d986119a6c85472eSHA256NULL
15088541038f26401a1864d70a8da53d1cb0c2cbf6431c9ee01e141b2c78407eSHA256NULL
247c740bf91c64bab302c0b53a1e138ebe6f951dac9c28c0be34c77ff1d35ebaSHA256NULL
871862d1117fd7d2df907406a3ce08555196800b0ef9901dd4c46f82b728263dSHA256NULL
2f8e0fc38eaf08a69653f40867dcd4cc951a10cd92b8168898b9aa45ba18a5c8SHA256NULL
8f49468c1028a77bb5a5272ecd3f212dMD5NULL
29d6756faccaeb97013fd9418b43cd9fMD5NULL
0d1e6c5149c24875dd99e957d9207794MD5NULL
0d9f7daefcaea9e1e49edd921d6970b1MD5NULL
0942af7805af433bc395ea765ebdb3dcMD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — DanaBot Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.