Bu rehber, gerçek Rhadamanthys örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

Rhadamanthys Nedir?

Rhadamanthys, ilk olarak 2020 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

Rhadamanthys, Bilgi Hırsızı (Infostealer) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kişisel verileri toplayan bir bilgi hırsızı (infostealer) olarak sınıflandırılmıştır. Tarayıcı kayıtlı parolaları, çerezler, kripto para cüzdanı verileri ve oturum tokenları bu zararlı yazılımı

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C++, HTTP/HTTPS C2, modular plugin-tabanli mimari, genis tarayici credential theft, kripto wallet scraper (MetaMask/Phantom), steganography destekli payload, fingerprint (UUID/HWID), process injection

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Rhadamanthys örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
a793c1a77afeb7d85ee525d6333339e40e2fec841a9d79d87d02524cf9034909SHA256NULL
34b4d7f88d2e40981c5b7ccb58805be1d3cdfd21b3cd779e5c902569d0a4a5b8SHA256NULL
65001f8dd1df9359d031ec8f87a08818b328b6bac430a14cf7a6c80a4c6e7567SHA256NULL
06f80270c9e7d47d461a37513ae66c9fcc7f6c43d94859bfce95c77578da1d84SHA256NULL
ff1ac70246985cd9c5f1a2c1a54cf97e9286aa51fda94e2c11c55934ae8171a6SHA256NULL
4a356827683d5dad47377d7901580b10MD5NULL
1fcb2db54f35a31856c9670ed28c8ca0MD5NULL
df22e3e63c07dc20537f855b8f0a9b39MD5NULL
9e16041e0f9860d8da98ae979f1c46aeMD5NULL
5d574d049e63547fcab41dc238c2c413MD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Rhadamanthys Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.