Bu rehber, gerçek AgentTesla örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

AgentTesla Nedir?

AgentTesla, ilk olarak 2014 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Chrome, Firefox, Edge, Outlook, Thunderbird ortamlarını hedef almaktadır. .NET/C# programlama dili ile geliştirilmiş olup C2 iletişiminde SMTP/HTTP protokolünü kullanmaktadır.

AgentTesla .NET-based keylogger/infostealer sold as MaaS. Exfiltrates credentials via SMTP/FTP/Telegram. Targets browsers, email clients, crypto wallets.

Atıf / Tehdit Aktörü: Turkce konusulan gelistirici 'Turk Hack Team' ile iliskilendirilen ve Turkiye'den yonetildigi dusunulen platform. Pek cok farkli siber suc grubu musterisi bulunmaktadir.

Teknik Detay: C#/.NET, SMTP/FTP/HTTP C2, GetAsyncKeyState keylogger, browser stealer (Chrome/Firefox/Edge), email client stealer, FTP stealer, VPN stealer, clipboard monitor, screenshot

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek AgentTesla örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
bc4b5891b1294dac280e9c24e2f63b8659d5703d28b7ffa459940b266f00b822SHA256NULL
dcf7ed2060ce90a77769f58b443ae6a446c7142265f7518f0e825d4978ee5b59SHA256AgentTesla
62b5b78f80d371eb50e98ce67a45df37192936498e88f2184366631c95eb81dbSHA256AgentTesla
030b02ee930ccc6aea73af78613c596fb73ead75f08b2deb79821bebe31e9858SHA256AgentTesla
06410a762ca56fdad24ff4891d66536d9e0071d73276deece7aa76517939f80eSHA256AgentTesla
21880c0ba2b22b64426bdc1db714d2c8MD5NULL
11414348f9a74f84a438e155930f780cMD5AgentTesla
30311b353d0d58b34e7c1d855479a16eMD5AgentTesla
2549c327e62c45f7f5ab4ec7eb0ba5d4MD5AgentTesla
4717160c8af8e79f67b86049b262ed54MD5AgentTesla

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — AgentTesla Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.