Bu rehber, gerçek CoinMiner örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (1 hash, 3 domain).

CoinMiner Nedir?

CoinMiner, ilk olarak 2017 yılında gözlemlenen bir Kripto Madencisi (Coinminer)'dır. Temel amacı sistem kaynaklarını izinsiz kripto madenciliğinde kullanma olan bu zararlı yazılım, Küresel ortamlarını hedef almaktadır. C/C++ programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

CoinMiner kurbanin bilgisayar kaynaklarini CPU/GPU kripto para madenciligi icin kullanan malware ailesidir. Genellikle XMRig kullanir. Sahte yazilim paketleri ile yayilir.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: XMRig tabanli (C++), stratum protocol, pool mining, process priority manipulation, antivirus/firewall bypass, watchdog process, process injection (svchost)

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • İşlemci sürekli %80-100 kullanımda, fan gürültüsü artmış

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek CoinMiner örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048SHA256NULL
cbc88849ffeab52cbd7ee94d3f562c3cMD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — CoinMiner Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes
  • Kaspersky Virus Removal Tool
  • AdwCleaner

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen CoinMiner C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

Domain Adresleri

  • gcc.gnu.org
  • pastebin.com
  • xmr-eu2.nanopool.org

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Sistem Kaynaklarını Geri Kazanma

  • Görev Yöneticisi'nde CPU/GPU kullanımını izleyin; %80+ sürekli yüksekse mining devam ediyor demektir
  • GPU sıcaklığını MSI Afterburner veya GPU-Z ile kontrol edin
  • Temizleme sonrasında BIOS/UEFI güvenlik ayarlarını gözden geçirin
  • Miner bulunduran torrent ve crack siteleri başlıca enfeksiyon kaynağıdır; bunlardan uzak durun

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

CoinMiner — Malware Profile

CoinMiner kurbanin bilgisayar kaynaklarini CPU/GPU kripto para madenciligi icin kullanan malware ailesidir. Genellikle XMRig kullanir. Sahte yazilim paketleri ile yayilir.

Malware Type
Coinminer
Programming Language
C/C++
C2 Protocol
TCP
Target Systems
Küresel

Technical Details

XMRig tabanli (C++), stratum protocol, pool mining, process priority manipulation, antivirus/firewall bypass, watchdog process, process injection (svchost)

Capabilities & Behavior

CPU/GPU Madenciliği
Kripto Para Üretimi
Kaynak Kullanımı
Kalıcılık
Anti-Analiz
Yayılma Mekanizması
Tags
temizlikkaldırmacoinminercoinminervirüs temizleme