Bu rehber, gerçek RedLine örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

RedLine Nedir?

RedLine, ilk olarak 2020 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. .NET/C# programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP/TCP protokolünü kullanmaktadır.

RedLine Stealer is a .NET infostealer sold as MaaS. Exfiltrates browser creds, crypto wallets, FTP/VPN credentials via a C2 panel. URL-based or gRPC C2.

Atıf / Tehdit Aktörü: Rusca konusulan gelistirici/operatorler; MaaS modeli ile cok sayida musteriye hizmet. 2024 Operasyon Magnus'ta birden fazla sunucu operatoru gozaltina alinmistir.

Teknik Detay: .NET, gRPC C2 protokolu, browser credential theft (tum Chromium/Firefox tabanlılar), cryptocurrency wallet stealer, VPN credential stealer, Discord/Steam token stealer

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek RedLine örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
0379d402a94f960380d7d91e3bfa106eeac01cd39ae7b0ba5010ba737088a215SHA256RedLine
0e9ebbf4391a1ce11ceecab0c0699a229a7f2a20b9909600310db15b1b3cf772SHA256RedLine
b3d310c2853f8d633be45b6c7bf57f4d1da0ecb11a757096720621db381d0b15SHA256RedLine
1dd30d7863a6687e4810a4f8da7e6aae7c12c6633df0517872682fbdfb951d7cSHA256RedLine
3cbfe1436db51d0ed707f6a2beaf834561e2ff62e1cd91ed3f46021aeaf26ad6SHA256RedLine
ef9aa4d03a69e69bbc44867f8436001dMD5RedLine
3ded2b22f85e0720a350969315ce9575MD5RedLine
d05dfc1d4c5c6498694370330a3020faMD5RedLine
eed18b5e8e965f41241e3bbd9364c101MD5RedLine
ffc167fe4bb8867545b207b98445ef06MD5RedLine

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — RedLine Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.