Bu rehber, gerçek RisePro örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 domain, 1 dosya yolu, 1 mutex).

RisePro Nedir?

RisePro, ilk olarak 2020 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

RisePro, Zararlı Yükleyici (Loader) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, hedef sisteme ek zararlı yazılım yüklemek amacıyla tasarlanmış modüler bir yükleyici (loader) olarak tespit edilmiştir. Genellikle spam kampanyaları veya drive-by download saldırıları aracılığıyla dağıtılan bu yükleyici, sisteme sızdıktan sonra bankacı

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Loader ailesi: HTTP/HTTPS C2, payload sifre cozme ve bellek icerisinde yükleme, anti-sandbox/VM kontrolleri, process injection, persistence mekanizmasi, yükü indirme ve calistirma zinciri

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek RisePro örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
b76593c9fcaafae1db2c28a2328ac4a7d1d3977e00eb87efba862b974f51daa0SHA256NULL
047f4857c6d18d73d807abb0d6a45c1761cb15ac43cdfcbac74b2b63c9f49cabSHA256NULL
4ee8fff778c47da505eb87c13b97522ad98b76860989ef9f19261fac9987de65SHA256NULL
ee1351675c5763a3cb520b9f220ace814b0c5b2ba43810d682f4f3c6c8e90080SHA256NULL
ce8d2e2881229050811cba64026a497637bebe32ae946749374eb1409e3b9bbdSHA256NULL
23ca625b432f5d636959fecf3529fe26MD5NULL
1c2925b0ed6476fa25965382e2995991MD5NULL
c6172ceb1623c0b3bf669c9255649db6MD5NULL
d8c8a6f9bd5063d123ea3d172d3e78f5MD5NULL
b7d857756cb4fe584aff5972336c5b91MD5NULL

Süreç Tespiti — Mutex Değerleri

Process Explorer veya Process Hacker ile aşağıdaki mutex değerlerini arayın; bu değerlerin varlığı aktif RisePro enfeksiyonuna işaret eder:

  • GlobalRisePro_v1.2_mutex

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — RisePro Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Mutex listesini (yukarıdaki bölüm) Process Hacker ile kontrol edin.

Adım 4 — Kötü Amaçlı Dosyaları Silin

Silinecek Dosya Yolları

Analizde RisePro'ın sisteme bıraktığı tespit edilen dosya yolları:

  • %APPDATA%RisePrologs.db — RisePro veri depolama dosyasi

Bu dosyaları silmeden önce Görev Yöneticisi'nden ilgili süreçleri sonlandırın.

Adım 5 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 6 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen RisePro C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

Domain Adresleri

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.