Bu rehber, gerçek SystemBC örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

SystemBC Nedir?

SystemBC, ilk olarak 2020 yılında gözlemlenen bir Arka Kapı (Backdoor)'dır. Temel amacı gizli uzaktan erişim sürdürme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

SystemBC, Backdoor kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, saldırganların standart kimlik doğrulamayı atlatarak gizlice sisteme erişmesini sağlayan bir arka kapı (backdoor) olarak tespit edilmiştir.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Backdoor ailesi: TCP/HTTP C2, gizli uzak erisim, kalicilik mekanizmasi (servis/Registry), shell komutu calistirma, dosya transfer, anti-forensic teknikleri

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek SystemBC örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
3af64c28e0cedf48abc217049af66c23149fdb1384f5e64bee2f72ea13a9ac60SHA256NULL
bbf513305c61fc5e26cbbe5a72931b5bc0feeb0d834a85edf99b5bf5a853feb4SHA256NULL
3468d4fecf3ad380d5ab579fcc149680999c431eb07617707a639763906c2be2SHA256NULL
2086ece64145022a260c7676e660e93d2a1be44a767a8233daa4f14d0125e0bdSHA256NULL
f8cc41bd09cdc151422a813652150a579775d6c9ff4a6f0e86306533f72f671cSHA256NULL
54ff30f4345aff2b74bab0c91ac09469MD5NULL
b97c5fb8ffe52136069acd188303d3c4MD5NULL
9515e6dc7ee0e4bd461dd3afc22d3705MD5NULL
8eae0ea8ab6eb67caa03da3a4521796aMD5NULL
2ab5a623873192c173b1f4803a29a3c3MD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — SystemBC Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.