Bu rehber, gerçek BlackGuard örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 1 IP, 3 domain, 1 mutex).

BlackGuard Nedir?

BlackGuard, ilk olarak 2020 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C# programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

BlackGuard, Bilgi Hırsızı (Infostealer) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kişisel verileri toplayan bir bilgi hırsızı (infostealer) olarak sınıflandırılmıştır. Tarayıcı kayıtlı parolaları, çerezler, kripto para cüzdanı verileri ve oturum tokenları bu zararlı yazılımın

Atıf / Tehdit Aktörü: NULL

Teknik Detay: .NET, HTTPS C2 (Telegram/Discord C2 dead drop da destekli), browser stealer, kripto wallet stealer, VPN/FTP stealer, Discord/Steam token, USB propagation, clipper, screenshot

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek BlackGuard örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
2ce02a9f26d699d65588073a8f2be54e422cb28cdc69aabb89acb0250f2d2fe2SHA256NULL
1cc0b85cabbabadddcdfccfd60b96ad24fb4efcd289e06d7d55cec91ef878474SHA256NULL
c7b4261ed1203f2bc6e17bfa2a0e31f40be1828d7ea152e218cb01f3b52e5bd0SHA256NULL
0d6f87aa1826205087affc7248276844f30898daa0eabad676c549459b8e8722SHA256NULL
3b7071def29490065f3235971fe3c7d474b2aafc96c47a65ced7f61417ecad1aSHA256NULL
5abc4f85343b846275da1edf093fb1baMD5NULL
88c0540020d6f5dddac5d2bf36f99863MD5NULL
00f16882af98f348c30f651c8a26e24eMD5NULL
66c50e3267d693303f6cbae5fdf25878MD5NULL
5c5320a06e337d16c27afa978073b9a3MD5NULL

Süreç Tespiti — Mutex Değerleri

Process Explorer veya Process Hacker ile aşağıdaki mutex değerlerini arayın; bu değerlerin varlığı aktif BlackGuard enfeksiyonuna işaret eder:

  • GlobalBG_Stealer_2025

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — BlackGuard Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Mutex listesini (yukarıdaki bölüm) Process Hacker ile kontrol edin.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen BlackGuard C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

Domain Adresleri

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.