Bu rehber, gerçek TrickBot örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

TrickBot Nedir?

TrickBot, ilk olarak 2016 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

TrickBot is a modular banking trojan/loader. Delivers ransomware (Ryuk, Conti). Credential theft, lateral movement modules. Infrastructure taken down 2021.

Atıf / Tehdit Aktörü: WIZARD SPIDER, Dyre successor

Teknik Detay: TrickBot is a modular banking trojan and loader developed by WIZARD SPIDER since 2016. Evolved from Dyre banking trojan with modular architecture allowing plugin-based functionality. Modules: pwgrab (credential theft), networkdll (network reconnaissance), shareDll (SMB spread), tabDll (browser form

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek TrickBot örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
046ea30e67d2a06b83db596a087b9e62bd23de95e76aefb6deb3c9348c546c48SHA256TrickBot
f59ed31f271d90f65b0ef6c34aaedec49993551818f7566968a944dafb7d36b4SHA256TrickBot
068af8016c36fce5cf1e1a4722c1dc0d6e02cb6ed58b61c2ba99a54d294cc274SHA256TrickBot
1a71a8bc099c9ab4d4c65431aa2190690ee0be76536c430e1acaf79254b4a455SHA256TrickBot
1b0dbeaad0cf9c607cc2985571b26be3b74aa78b3367116b85ebf8c6c839a703SHA256TrickBot
9ce3657c4801c085594c492e4948c4d7MD5TrickBot
8c524ecd5f8d8bd135dbe480badd50b9MD5TrickBot
f0b9f50c6a247ac5ca9cc95135b83dcfMD5TrickBot
083611a154aa1fee6388ccf2651dc973MD5TrickBot
b2859a7f525670d85b2f41644ba25a11MD5TrickBot

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — TrickBot Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.