Bu rehber, gerçek Mirai örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 4 IP, 1 domain, 1 dosya yolu).

Mirai Nedir?

Mirai, ilk olarak 2016 yılında gözlemlenen bir Botnet'dır. Temel amacı DDoS saldırısı ve spam kampanyalarına katılma olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

Mirai is an open-source IoT botnet that turns infected devices into bots for DDoS attacks. Exploits default credentials on IoT devices. Source code leaked 2016.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C, brute-force Telnet/SSH kimlik bilgileri, multiple DDoS modulu (TCP/UDP/HTTP/DNS/GRE/VSE), process kill (competing malware/security tools), watchdog, iptables bypass

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Mirai örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
446b0339984f9637abd7e2117f969fc56e9f62126ff5f113fd400b3158f89ec2SHA256Mirai
45203919ac0d8d4523885003019fe571bec89aaa165e92e661653cd9d3bcc6f0SHA256Mirai
4c6f74f1ec9009ed6ef66b72a8e2412ea2606a2d4788b9b3fa3573a7f080f5c1SHA256Mirai
3483feeaab0ee0e47bac105a2e36ff634917228cbbb8e422f1289aeee38a58e8SHA256Mirai
505a10ef3b0f4206ca9242afa64d14977396223dd5babc0842ed82b49481a95aSHA256Mirai
2bb2f152e482c61934a873500e0dc191MD5Mirai
cd20aecf5a13cfb2217e64a8dac71cdaMD5Mirai
eae132b466adc97be5f44fe71ee404ceMD5Mirai
e3dd18f8204782161243812edb090624MD5Mirai
91b135ed8ee76e6b428964db5d88a299MD5Mirai

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — Mirai Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Kötü Amaçlı Dosyaları Silin

Silinecek Dosya Yolları

Analizde Mirai'ın sisteme bıraktığı tespit edilen dosya yolları:

  • /tmp/.X19-unix/.lol — Mirai Linux bot path - sagma dosyasi

Bu dosyaları silmeden önce Görev Yöneticisi'nden ilgili süreçleri sonlandırın.

Adım 5 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes
  • RKill
  • ESET Online Scanner

Adım 6 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen Mirai C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

  • 45.142.142.140
  • 89.19.209.214
  • 45.142.142.140
  • 89.19.209.214

Domain Adresleri

  • mirai-botnet.ru

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

Mirai — Malware Profile

Mirai, IoT DDoS botnet'idir.

Malware Type
Botnet
Programming Language
C
C2 Protocol
TCP
Target Systems
Linux/IoT

Technical Details

C, brute-force Telnet/SSH kimlik bilgileri, multiple DDoS modulu (TCP/UDP/HTTP/DNS/GRE/VSE), process kill (competing malware/security tools), watchdog, iptables bypass

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
45.142.142.140 ip 23 TCP active —
89.19.209.214 ip 23 TCP inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
temizlikkaldırmamiraibotnetvirüs temizleme