WarzoneRAT Nedir?
WarzoneRAT, ilk olarak 2018 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.
WarzoneRAT (AveMaria) is a C++ RAT sold on forums. Features UAC bypass, hidden RDP, HVNC, keylogging, and password stealing. Known for stealth and persistence.
Atıf / Tehdit Aktörü: Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.
Teknik Detay: C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli
Nasıl Bulaşır?
- Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
- Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
- Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
- Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
- USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma
Enfeksiyon Belirtileri
- Sistem performansında ani ve açıklanamayan düşüş
- Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
- Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
- Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
- Webcam/mikrofon izinsiz etkinleşiyor, tuş vuruşları gecikiyor
Dosya Hash Değerleri (Antivirüs Tespiti İçin)
Gerçek WarzoneRAT örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:
| Hash Değeri | Tür | Not |
|---|---|---|
| 31e5881b79919c18f8444ac3300eb2a3550100754d869d19a9ccacaf874df75b | SHA256 | WarzoneRAT |
| 536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293e | SHA256 | WarzoneRAT |
| ff7743a58c915481a6ad7d03525e15d0f9871658ce1497dfac490373850b9c11 | SHA256 | WarzoneRAT |
| 13ae61a913fc0d89890243e1f50169af679c6c751afc7682d34d7e56d0ed9d73 | SHA256 | WarzoneRAT |
| 6072185720cbcf2add1e2ada668484a4d55c601fcb2840ca6b7fbf9dfacdefb8 | SHA256 | WarzoneRAT |
| 5ca8de5b7c87d36341f0578a03615aee | MD5 | WarzoneRAT |
| db8b61c879de14d0712856f4310bb83e | MD5 | WarzoneRAT |
| 20183dbb7fa75683e8082411a3521f24 | MD5 | WarzoneRAT |
| a2c7f8bde3104fbe91110ed88cd9a2a5 | MD5 | WarzoneRAT |
| 78e0265f9bc8991dbb309aa52612eb46 | MD5 | WarzoneRAT |
Süreç Tespiti — Mutex Değerleri
Process Explorer veya Process Hacker ile aşağıdaki mutex değerlerini arayın; bu değerlerin varlığı aktif WarzoneRAT enfeksiyonuna işaret eder:
WarZone160Mutex
Adım Adım Kaldırma Rehberi
Adım 1 — İnternet Bağlantısını Hemen Kesin
C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.
Adım 2 — Güvenli Modda Başlatın
Windows'u Ağ Destekli Güvenli Mod'da başlatın:
- Win + R →
msconfig→ Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat - Veya başlangıçta F8 (eski Windows sürümleri)
Adım 3 — WarzoneRAT Sürecini Sonlandırın
Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.
Mutex listesini (yukarıdaki bölüm) Process Hacker ile kontrol edin.
Adım 4 — Registry Anahtarlarını Temizleyin
Silinecek Registry Anahtarları
Analizde WarzoneRAT'ın oluşturduğu veya değiştirdiği registry girdileri. Win+R → regedit ile yönetici olarak açın:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunWarzoneRAT— WarzoneRAT Run key
Dikkat: Registry'den yanlış kayıt silmek sisteme zarar verebilir. Emin değilseniz önce yedek alın.
Adım 5 — Antivirüs ile Tam Sistem Taraması
Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):
- Malwarebytes
- RKill
- ESET Online Scanner
Adım 6 — Tarayıcıları Sıfırlayın
Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:
- Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
- Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
- Edge: Ayarlar → Ayarları Sıfırla
C2 Altyapısı — Ağ Düzeyinde Engelleme
Analizlerimizde tespit edilen WarzoneRAT C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:
IP Adresleri
185.216.36.143
Domain Adresleri
cloudflareprotected.xyz
Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.
Güvenlik İhlali Sonrası Yapılacaklar
RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:
- Tüm hesap şifrelerini farklı bir cihazdan değiştirin
- Webcam ve mikrofonu fiziksel olarak kapatın (bant veya kapak)
- Banka ekstrelerinizi şüpheli işlemler için inceleyin
- Sosyal çevrenizi kimlik avı girişimlerine karşı uyarın
- Kurumsal ortamda IT güvenlik ekibine ve CERT-TR'ye (0850 404 1177) bildirin
Yeniden Enfeksiyonu Önleme
- İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
- Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
- E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
- Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
- Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
- Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
- Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun
Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.