Bu rehber, gerçek XWorm örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

XWorm Nedir?

XWorm, ilk olarak 2022 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. .NET/C# programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

XWorm, 2022 yilindan itibaren yeraltı forumlarinda satisa sunulan C# tabanli bir RAT/infostealer hibrididir. Kullanıcı dostu panel arayüzü sayesinde dusuk teknik seviyeli tehdit aktörleri tarafindan da kullanilabilmektedir. Temel özellikleri arasinda keylogger, clipboard hijacking, browser credential stealing, screenshot capture, WebSocket tabanli C2 iletisimi ve USB yayilimi bulunmaktadir. Anti-a

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C# .NET, AES-128-CBC veya AES-256, TCP varsayilan port 7878, Anti-VM (GetSystemFirmwareTable), Anti-debug (FindWindow Olly/x64dbg), Webhook stealer, Clipper, HVNC, Remote Shell, Ransomware modulu

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek XWorm örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
c07ddbc7f72a1750c58cc99f793cd555b3da121f9e15f653a5cede4dad0006c4SHA256Unknown statik analiz
06316914d40365bcd7a60ccd3268411f4b79ba14bef8fd1bd713fbb65fedf115SHA256Unknown statik analiz
854f438df394fb8bb4052b8f43bf7008d39ae83f0e55f44e126029061dafbab6SHA256Unknown statik analiz
22620c9c6d0c2b392ee34bd4e7905b6f161bfe25ed3dc756302aeb091a994b0eSHA256Unknown statik analiz
09eb254ca162965a3722fd345476cbbacbd46e7d6d27632c4ce8ae614c961a2dSHA256Unknown statik analiz
5666aa56d66a9eb090b26650ee07f63dMD5Unknown statik analiz
7dbe080cd3266a0aff07f1af5ee0a85aMD5Unknown statik analiz
b6d5495446137f5ef0761961ab9f1c9bMD5Unknown statik analiz
35f1dcdad211c0ef4409bd554cfd1425MD5Unknown statik analiz
9ea320c8f69be615efba4a3035fb83cfMD5Unknown statik analiz

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — XWorm Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Güvenlik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.