Bu rehber, gerçek GuLoader örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

GuLoader Nedir?

GuLoader, ilk olarak 2020 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. VBScript/C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

GuLoader, Zararlı Yükleyici (Loader) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, hedef sisteme ek zararlı yazılım yüklemek amacıyla tasarlanmış modüler bir yükleyici (loader) olarak tespit edilmiştir. Genellikle spam kampanyaları veya drive-by download saldırıları aracılığıyla dağıtılan bu yükleyici, sisteme sızdıktan sonra bankac

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek GuLoader örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
9f8c7663194662d77577a6229010c12222a75e4d58d3b6e540668813a46ae2e5SHA256NULL
20dbcab2dc3f9e4ec9a7d55876b536fa1fcc5f6dc00f6181b5cff7c9338f45c9SHA256NULL
8bda7db9909e9b4e6bbb325102bae2639f622cf3d895e1b500f7a02cfd21608dSHA256NULL
ac8b6860de1dd6a7be3f5781ee701bbbc8713e2c23d28083bd29291c880a3822SHA256NULL
97e7c70270a2522d212ad556382d97477dba6730dccd421230a9f36cb97aa9caSHA256NULL
3e3c9a0d22738dd7b1921f9216d6a909MD5NULL
2f426d2fb00858d8649cf99eb2e2aac6MD5NULL
eaccbc831b2fc77bdcd8eb19f5f3dee1MD5NULL
bf73254b0e554922cedb795d9ab2a52cMD5NULL
a9b33292b46c7536a34f812d16aae9faMD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — GuLoader Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.