CobaltStrike Nedir?
CobaltStrike, ilk olarak 2012 yılında gözlemlenen bir C2 Framework'dır. Temel amacı sızma sonrası lateral movement ve persistence olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.
Cobalt Strike is a commercial adversary simulation framework widely abused by threat actors. Beacon payload provides full C2 with lateral movement capabilities.
Atıf / Tehdit Aktörü: NULL
Teknik Detay: Beacon payload (stageless/staged), C2 malleable profiles, Aggressor Script, process injection (various), lateral movement (psexec/wmi/winrm), credential theft (Mimikatz), HTTPS/DNS/SMB beacon channels
Nasıl Bulaşır?
- Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
- Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
- Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
- Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
- USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma
Enfeksiyon Belirtileri
- Sistem performansında ani ve açıklanamayan düşüş
- Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
- Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
- Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
Dosya Hash Değerleri (Antivirüs Tespiti İçin)
Gerçek CobaltStrike örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:
| Hash Değeri | Tür | Not |
|---|---|---|
| 1cf56da38e5fe05fd2242ff49bafa4271c5ee0868887bf91dafb6f47d1e46ae9 | SHA256 | CobaltStrike |
| 1d3bcced2467d17e2be347629e1aae5ad919c0cf850932eef0fff74fc3ea0f03 | SHA256 | CobaltStrike |
| aff0b73277e0f8265089b2942a2c6bd20be660165ad374b87d1eefe67e469d88 | SHA256 | CobaltStrike |
| 4e95aba17c1a423cda5cc9f9f04f7cf8db17e294eb31ed1aa85063601b82fe8d | SHA256 | CobaltStrike |
| 63c656b183444fd53169f82dfd69ef54cf595f74b8268aa5dc154bd99e6fbcaa | SHA256 | CobaltStrike |
| cd59d54a7af500f96aa0347bb5daf077 | MD5 | CobaltStrike |
| 89f0d975e1a555a88d4c2e4b57ddc785 | MD5 | CobaltStrike |
| d27c139836642039a2ce952af89a9439 | MD5 | CobaltStrike |
| b5f122f3f07f618c0a7678fa40801faa | MD5 | CobaltStrike |
| 29bb37668a083e3b3f28e93d4755019b | MD5 | CobaltStrike |
Adım Adım Kaldırma Rehberi
Adım 1 — İnternet Bağlantısını Hemen Kesin
C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.
Adım 2 — Güvenli Modda Başlatın
Windows'u Ağ Destekli Güvenli Mod'da başlatın:
- Win + R →
msconfig→ Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat - Veya başlangıçta F8 (eski Windows sürümleri)
Adım 3 — CobaltStrike Sürecini Sonlandırın
Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.
Adım 4 — Kötü Amaçlı Dosyaları Silin
Silinecek Dosya Yolları
Analizde CobaltStrike'ın sisteme bıraktığı tespit edilen dosya yolları:
%TEMP%eacon.dll— Cobalt Strike beacon DLL%SYSTEMROOT%Tempsvchost.exe— Cobalt Strike hollowed process
Bu dosyaları silmeden önce Görev Yöneticisi'nden ilgili süreçleri sonlandırın.
Adım 5 — Antivirüs ile Tam Sistem Taraması
Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):
- Malwarebytes Anti-Malware
- ESET Online Scanner
- RKill
Adım 6 — Tarayıcıları Sıfırlayın
Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:
- Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
- Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
- Edge: Ayarlar → Ayarları Sıfırla
C2 Altyapısı — Ağ Düzeyinde Engelleme
Analizlerimizde tespit edilen CobaltStrike C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:
IP Adresleri
185.225.17.10091.215.153.46
Domain Adresleri
www.mayerondricka.digitalonyxtrustsec.com
Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.
Yeniden Enfeksiyonu Önleme
- İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
- Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
- E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
- Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
- Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
- Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
- Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun
Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.