Bu rehber, gerçek Gh0stRAT örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

Gh0stRAT Nedir?

Gh0stRAT, ilk olarak 2001 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

Gh0stRAT is a Chinese-origin open-source RAT. Features keylogger, screen capture, webcam, remote shell. Heavily modified variants used in APT campaigns.

Atıf / Tehdit Aktörü: Cin kokenli; bazi APT gruplari (APT10, APT40, Mustang Panda) tarafindan kullanilmaktadir. Kaynak kodu yayilmisindan bu yana global kullanim yayginlasmistir.

Teknik Detay: C++, ozel binary protokol, TCP port 2008/2009/443 (varyanta gore), anti-debug, keylogger, screen capture, process killer, file manager, remote shell

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Gh0stRAT örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
0fb2a4a9e5a714b605354bc6e59a6b1f23b94e3743dbc1fb9f86799450d27fbeSHA256Gh0stRAT
b28c2832db2275496441568ca94960333d143b363e911d087f41e484f04fb515SHA256Gh0stRAT
12d72753c1e65457eeccf9957b4501e26397e28379eafc363440f6b81060d5f4SHA256Gh0stRAT
3441e8dc5855680eecd7b9795d918ad23ec48a718a1a874979f2570751d4ce12SHA256Gh0stRAT
7317d297686d154b4d78217e100df5f57949f05efe095f1a017b5988cddef98bSHA256Gh0stRAT
ddff02dd247006bc780e830e43108eb1MD5Gh0stRAT
523a2b9056600ea66910b8326bd287b3MD5Gh0stRAT
d7a5c23c2237da3b7556ae20ca9af66bMD5Gh0stRAT
c7dfe7b9f5d6e98de85edf2e4f16e7e5MD5Gh0stRAT
c21c6962c9902ddbf4d08537ea7d96a4MD5Gh0stRAT

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Gh0stRAT Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Güvenlik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.