Bu rehber, gerçek XWorm örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

XWorm Nedir?

XWorm, ilk olarak 2022 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. .NET/C# programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

XWorm, 2022 yilindan itibaren yeraltı forumlarinda satisa sunulan C# tabanli bir RAT/infostealer hibrididir. Kullanıcı dostu panel arayüzü sayesinde dusuk teknik seviyeli tehdit aktörleri tarafindan da kullanilabilmektedir. Temel özellikleri arasinda keylogger, clipboard hijacking, browser credential stealing, screenshot capture, WebSocket tabanli C2 iletisimi ve USB yayilimi bulunmaktadir. Anti-a

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C# .NET, AES-128-CBC veya AES-256, TCP varsayilan port 7878, Anti-VM (GetSystemFirmwareTable), Anti-debug (FindWindow Olly/x64dbg), Webhook stealer, Clipper, HVNC, Remote Shell, Ransomware modulu

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • Webcam/mikrofon izinsiz etkinleşiyor, tuş vuruşları gecikiyor

ファイル Hash 値leri (Antivirüs Tespiti İçin)

Gerçek XWorm örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash 値i種別Not
c07ddbc7f72a1750c58cc99f793cd555b3da121f9e15f653a5cede4dad0006c4SHA256Unknown statik analiz
06316914d40365bcd7a60ccd3268411f4b79ba14bef8fd1bd713fbb65fedf115SHA256Unknown statik analiz
854f438df394fb8bb4052b8f43bf7008d39ae83f0e55f44e126029061dafbab6SHA256Unknown statik analiz
22620c9c6d0c2b392ee34bd4e7905b6f161bfe25ed3dc756302aeb091a994b0eSHA256Unknown statik analiz
09eb254ca162965a3722fd345476cbbacbd46e7d6d27632c4ce8ae614c961a2dSHA256Unknown statik analiz
5666aa56d66a9eb090b26650ee07f63dMD5Unknown statik analiz
7dbe080cd3266a0aff07f1af5ee0a85aMD5Unknown statik analiz
b6d5495446137f5ef0761961ab9f1c9bMD5Unknown statik analiz
35f1dcdad211c0ef4409bd554cfd1425MD5Unknown statik analiz
9ea320c8f69be615efba4a3035fb83cfMD5Unknown statik analiz

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — 信頼度li Modda Başlatın

Windows'u Ağ Destekli 信頼度li Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "信頼度li önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — XWorm Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes
  • RKill
  • ESET Online Scanner

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

信頼度lik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

  • Tüm hesap şifrelerini farklı bir cihazdan değiştirin
  • Webcam ve mikrofonu fiziksel olarak kapatın (bant veya kapak)
  • Banka ekstrelerinizi şüpheli işlemler için inceleyin
  • Sosyal çevrenizi kimlik avı girişimlerine karşı uyarın
  • Kurumsal ortamda IT güvenlik ekibine ve CERT-TR'ye (0850 404 1177) bildirin

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • 信頼度ilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

XWorm — マルウェアプロファイル

XWorm RAT .NET. Contract.exe is sozlesmesi. RecargarPanels Ispanyolca UI. panelActions plugin. Aggregate modül.

マルウェアの種類
RAT
プログラミング言語
.NET C#
C2プロトコル
TCP
標的システム
Windows

技術詳細

C# .NET, AES-128-CBC veya AES-256, TCP varsayilan port 7878, Anti-VM (GetSystemFirmwareTable), Anti-debug (FindWindow Olly/x64dbg), Webhook stealer, Clipper, HVNC, Remote Shell, Ransomware modulu

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

C2サーバー (このファミリーで8台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
eIL.ru domain — TCP active —
exec.in domain — TCP active —
exec.in domain — TCP active —
exec.in domain — TCP active —
exec.in domain — TCP active —
github.com domain — TCP active —
system.io domain — TCP inactive —
system.io domain — TCP inactive —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
temizlikkaldırmaxwormratvirüs temizleme