Bu rehber, gerçek NjRAT örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

NjRAT Nedir?

NjRAT, ilk olarak 2012 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Küresel ortamlarını hedef almaktadır. .NET/VB.NET programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

njrat, rat kategorisinde bir malware ailesidir. Yetenekler: Process Injection, Persistence, Network/Download, Encryption, Ransomware Behavior.

Atıf / Tehdit Aktörü: Arap dilli siber suc topluluklari, en cok MENA (Orta Dogu ve Kuzey Afrika) bolgesindeki gruplar. Yasama savasi donemi Suriyeli gruplar tarafindan da kullanilmistir.

Teknik Detay: TCP port 1177 (varsayilan), XOR tabanlı iletisim sifreleme, .NET Framework 2.0+, Mutex: {GUID}, Registry Run key persistence, Keylogger (GetAsyncKeyState), clipboard monitor, screenshot, remote shell, remote camera

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • Webcam/mikrofon izinsiz etkinleşiyor, tuş vuruşları gecikiyor

ファイル Hash 値leri (Antivirüs Tespiti İçin)

Gerçek NjRAT örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash 値i種別Not
a64e0733553c506a1e0785f0bca26406abc3ce0c4256697e377a1b967be36677SHA256NULL
db6463b751ef817b9b5638571833cef10b72adfa7bf460fc2ba2448af3249496SHA256NULL
1086e2ec8e9274e1639f14084f27d3b47e606c37ccc2a1e4976db6633ef797d5SHA256NjRAT statik analiz
cd1ab1369c5b2090a046e27574158e038fabdabc695623b3e85810246990e351SHA256NjRAT statik analiz
858727d7d910a029cd5238ebec8c6cfc90593347dfd2172bd896345da82a6dbbSHA256NjRAT statik analiz
c932d4c3f54e3902d57abff3c58e09b6MD5NULL
b904965e2232b8131769911f703b2e73MD5NULL
2f61cb4b14e0cf839a4a823eceea88e9MD5NjRAT statik analiz
193177af43f8f24851b76d2866a11e1fMD5NjRAT statik analiz
a064ea0b7ea063d9b1969e5cbe620dabMD5NjRAT statik analiz

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — 信頼度li Modda Başlatın

Windows'u Ağ Destekli 信頼度li Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "信頼度li önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — NjRAT Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes
  • RKill
  • ESET Online Scanner

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

信頼度lik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

  • Tüm hesap şifrelerini farklı bir cihazdan değiştirin
  • Webcam ve mikrofonu fiziksel olarak kapatın (bant veya kapak)
  • Banka ekstrelerinizi şüpheli işlemler için inceleyin
  • Sosyal çevrenizi kimlik avı girişimlerine karşı uyarın
  • Kurumsal ortamda IT güvenlik ekibine ve CERT-TR'ye (0850 404 1177) bildirin

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • 信頼度ilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

NjRAT — マルウェアプロファイル

njRAT Bladabindi. Spanish cotizacion lure. get_Panel1 C2 panel. MENA + Latin America targeting.

マルウェアの種類
RAT
プログラミング言語
VB.NET
C2プロトコル
TCP (varsayilan port 1177)
標的システム
Windows
別名 (AKA)
Bladabindi, H-Worm, houdini

技術詳細

TCP port 1177 (varsayilan), XOR tabanlı iletisim sifreleme, .NET Framework 2.0+, Mutex: {GUID}, Registry Run key persistence, Keylogger (GetAsyncKeyState), clipboard monitor, screenshot, remote shell, remote camera

アトリビューション / 脅威アクター

Arap dilli siber suc topluluklari, en cok MENA (Orta Dogu ve Kuzey Afrika) bolgesindeki gruplar. Yasama savasi donemi Suriyeli gruplar tarafindan da kullanilmistir.

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

C2サーバー (このファミリーで8台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
comodoca.com domain — TCP active —
microsoft.com domain — TCP active —
microsoft.com domain — TCP active —
comodoca.com domain — TCP active —
microsoft.com domain — TCP active —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
temizlikkaldırmanjratratvirüs temizleme