Bu rehber, gerçek DCRat örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

DCRat Nedir?

DCRat, ilk olarak 2019 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. .NET/C# programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP/TCP protokolünü kullanmaktadır.

DarkCrystal RAT (DCRat), 2019 yilindan itibaren aktif olan ve ozellikle Rusça konusan yeraltı forumlarinda .NET tabanli bir RAT olarak satilan uzaktan erisim truvasidir. Modüler mimari kullanarak eklenti sistemi ile keylogger, credential stealer, screenshot capture ve clipboard monitoring gibi özellikler eklenebilmektedir. Cobalt Strike ile birlikte kullanilan kampanyalarda ve fidye yazilimi onces

Atıf / Tehdit Aktörü: NULL

Teknik Detay: .NET C#, AES-128-CBC sifreleme, plugin mimarisi (DLLler), TCP varsayilan port 5552, SQLite lokal depolama, Anti-VM/Sandbox (Process check, Registry), Loader, Stealer, RAT modulleri ayri

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek DCRat örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
b6973c2ced99ff4ce53c7bb7b347bc891955c327efaefa87b68e95b7c0bafd31SHA256DCRat
4b767fac98191dd727620e5c8d6cceaa8a1e8b5d5a55055afb4b9624b4f48be6SHA256DCRat
2b125840b1f69be0cd1652e051dca93eb9ee54a3c86494054fd061bca877492fSHA256DCRat
6133cd0b2a8a7a1ecf353ae072c1e64934bfbeb0693cb7dc59d6d55173d6e0a7SHA256DCRat
7618127c48a459913418d5446d3d2922b8f6d9f132fad338829d7e1bd07ff08dSHA256DCRat
0d6925a19d09354f5247820d746efad4MD5DCRat
b71eaa3dc527f36ee2267bb1174a1090MD5DCRat
5a0a4b6e16b83284358672c9a31a2861MD5DCRat
405b7381f5b0fbce342d54c12a96c772MD5DCRat
eaaa380371cf6657c9b2991c01a7891bMD5DCRat

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — DCRat Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Güvenlik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.