Bu rehber, gerçek Raccoon örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 IP, 1 dosya yolu).

Raccoon Nedir?

Raccoon, ilk olarak 2019 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

Raccoon Stealer v2 is a C-based MaaS infostealer. Collects browser credentials, cookies, CC data, crypto wallets. Telegram-based infrastructure. First appeared 2019, v2 released 2022.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C++/C, HTTP/HTTPS C2, SQLite credential extraction (browser login data), browser history/autofill, kripto wallet stealer (Ethereum/Bitcoin), email client stealer, custom stealer panel (PHP), fingerprint (HWID/IP)

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Raccoon örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
d60d4da2cfe120138a3fde66694b40ae2710cfc2af33cb7810b3a0e9b1663a4fSHA256Raccoon
447c03cc63a420c07875132d35ef027adec98e7bd446cf4f7c9d45b6af40ea2bSHA256Raccoon
2ef11e6ae721f24e08cdd1094f07a4d3ac8c57534217e387c6272a2a5a6fa3f7SHA256Raccoon
5649da2bbced4657c855dcb14c39eb45fffce62b3a947975e63812723bcdcc19SHA256Raccoon
688ed165268b4c50264c6f6a0adfa45ebb873705bd61fbe25e3ccd019b2e9e7cSHA256Raccoon
d113b3debc7e0a2da4369dd8d1dbad53MD5Raccoon
e2abf4955a35d2f6bfeb21200ea1f836MD5Raccoon
c73c73d159eb50d29c5a8443577d6335MD5Raccoon
f9ae31e86a51f586b9ce160b88d60578MD5Raccoon
288fd8b98444147b0ca63e14ab234bdbMD5Raccoon

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Raccoon Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Kötü Amaçlı Dosyaları Silin

Silinecek Dosya Yolları

Analizde Raccoon'ın sisteme bıraktığı tespit edilen dosya yolları:

  • %LOCALAPPDATA%Temp

Bu dosyaları silmeden önce Görev Yöneticisi'nden ilgili süreçleri sonlandırın.

Adım 5 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 6 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen Raccoon C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.