Bu rehber, gerçek Gootloader örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

Gootloader Nedir?

Gootloader, ilk olarak 2020 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. JavaScript programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

Gootloader, Loader kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, hedef sisteme ek zararlı yazılım yüklemek amacıyla tasarlanmış modüler bir yükleyici (loader) olarak tespit edilmiştir. Spam kampanyaları veya drive-by download saldırıları aracılığıyla dağıtılan bu yükleyici, sisteme sızdıktan sonra bankacılık trojanları, fidye yazılı

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Gootloader örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
3009c78448fb115e11ce5eaffa2e238a78bbe69c1f4ea01f39584a2fc2636e95SHA256NULL
1e3af6f8a9428ec66d6983c94869b4702a7d501738997dbd2cf9cf14463dded6SHA256NULL
36b76204518245f15bed935536a8d15b94c522598b4c5a727b7daeccd2756dffSHA256NULL
2e46b1a79a8d8fc7366f9c264b46108dd49b3eb2f4744a19769ca72090f8598aSHA256NULL
9b2b9e919208b2a601565e3fb9f358c551536c08b7ca733cdcd0b0bde37a7688SHA256NULL
37e88c216ca23172219bd861b1402b18MD5NULL
f1eb9ae5a82f2aa5c4644969405a5394MD5NULL
3204d6ce4610ad46448c04d417a04da8MD5NULL
ed3e917ce73dbdc4e64cddcfe1b40069MD5NULL
23938a5f1a8d0740d7c84ade1ad886a2MD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Gootloader Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.