Bu rehber, gerçek BitRAT örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

BitRAT Nedir?

BitRAT, ilk olarak 2020 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

BitRAT is a C++ RAT sold on darknet forums. Features include UAC bypass, hidden VNC, crypto miner, DDoS, and keylogging.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C++, AES-256 sifreleme, TCP, Hidden VNC (UltraVNC tabanli), HVNC, Keylogger, Stealer, XMRig miner dahili, UAC bypass (CMSTPLUA/COMPUTERDEFAULTS), DDoS modulu

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • Webcam/mikrofon izinsiz etkinleşiyor, tuş vuruşları gecikiyor

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek BitRAT örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
1d80fee1f9266fe2738f514614449d5dedb2374293e7489ec54d61c7d5634bacSHA256BitRAT
1f0279acdb1535a39a82d8a1baaf10e9dc307c043e38f53752e64408b50c58aaSHA256BitRAT
40f3e277da7a04b58913ba390827cfd51b318f40768c58f81361b832096ce1efSHA256BitRAT
c3bf75a13d38a48c126476948c06bdfca08ee0bb706a39c5d97f77e6c63fb8aeSHA256BitRAT
41ed808a203e53bf5ad402ddf8af2f4434a17e94ac58224231d936669fd0b229SHA256BitRAT
a0d576575c443902f50ba9dbf937e3a7MD5BitRAT
808005572c1c65a4a6166ed83f7180b4MD5BitRAT
b8d03a02e654dfc840f21297b8dc99b2MD5BitRAT
4d26e12d17a42568aa1f7d4b2f36aa3cMD5BitRAT
d3e0800e550889ad45270980ca5d31d2MD5BitRAT

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — BitRAT Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes
  • RKill
  • ESET Online Scanner

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

Güvenlik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

  • Tüm hesap şifrelerini farklı bir cihazdan değiştirin
  • Webcam ve mikrofonu fiziksel olarak kapatın (bant veya kapak)
  • Banka ekstrelerinizi şüpheli işlemler için inceleyin
  • Sosyal çevrenizi kimlik avı girişimlerine karşı uyarın
  • Kurumsal ortamda IT güvenlik ekibine ve CERT-TR'ye (0850 404 1177) bildirin

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

BitRAT — Malware Profile

BitRAT commercial RAT. golink.com dead drop C2. Windows Defender/SmartScreen/Security Guard full disable. SCMConfig LSA manipulation.

Malware Type
RAT
Programming Language
C++
C2 Protocol
TCP
Target Systems
Windows

Technical Details

C++, AES-256 sifreleme, TCP, Hidden VNC (UltraVNC tabanli), HVNC, Keylogger, Stealer, XMRig miner dahili, UAC bypass (CMSTPLUA/COMPUTERDEFAULTS), DDoS modulu

Capabilities & Behavior

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

C2 Servers (3 recorded servers for this family)

Address Type Port Protocol Status Country
cdn.discordapp.com domain 443 — active —
185.246.188.67 ip 9999 TCP inactive RU
cdn.discordapp.com/attachments/1217028370865455188/1222062384437526538/Fdliipctaw.mp3 domain 443 — inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
temizlikkaldırmabitratratvirüs temizleme