Bu rehber, gerçek HawkEye örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

HawkEye Nedir?

HawkEye, ilk olarak 2013 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde SMTP protokolünü kullanmaktadır.

HawkEye Keylogger is a commercial keylogger/credential stealer. SMTP-based exfil. Targets browsers, email clients, FTP credentials.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: .NET, SMTP/FTP/HTTP C2, keylogger (GetAsyncKeyState), clipboard monitor, browser credential theft, email/FTP credential stealer, form grabber, screenshot modulu, UAC bypass, anti-analysis

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek HawkEye örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
07881667044b72b47a906d99ca3522e12c6cbad62b5e2e6db7930504f604366aSHA256HawkEye
4652dd831e7ecfe97e03c144c47bc9f7772fb0be6aaf17e278bc53590c0dd90dSHA256HawkEye
0b1fadc136b71d5961664a2a1dc8e340c28324d3d8637667f1280bee4c3d12dbSHA256HawkEye
db3d98c97cfb274f58de6efc1739357371bcb8d006e02ff2857ef8d3605a9c06SHA256HawkEye
10468ce9267260dd51e4507645720dfe3aade6fc8ecad1b3c3cd3f40c35a35c5SHA256HawkEye
c7043b9b65e252b5305634da4f5515f1MD5HawkEye
29b58c73c3f4f0e3b24729297a428d0aMD5HawkEye
ccb3b74d378733c21fc584875b5a8b07MD5HawkEye
46a4d09a8947dce0c60d1fb5e757ad02MD5HawkEye
b8d7e45538687b80586b3a4344b11677MD5HawkEye

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — HawkEye Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.