Bu rehber, gerçek Dridex örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

Dridex Nedir?

Dridex, ilk olarak 2011 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

Dridex is a modular banking trojan/loader operated by TA505/Evil Corp. Used for credential theft and ransomware delivery (BitPaymer, WastedLocker). Very prolific 2015-2022.

Atıf / Tehdit Aktörü: Evil Corp (TA505), Maksim Yakubets (indicted by FBI)

Teknik Detay: Dridex (Bugat/Cridex) is a modular banking trojan operated by TA505/Evil Corp since 2011. Uses peer-to-peer botnet architecture for C2 communication to resist takedowns. Modules: form grabber, VNC backdoor, network proxy, credential stealer, spread module. Encrypted communication: RC4 + custom proto

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Dridex örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
056cdb544f37d5bd97e9d78d6afdd23279681ca849e25d377b6a04f5da8108e0SHA256Dridex
0e0d4494780c9010ece88f39f65bfbfcb13236e1652f7fe41e9c84a5b16583a5SHA256Dridex
138cd54735f5ce4b638c5bb68c9e0bf5776cf81d776e46592ef10a9bc58b0277SHA256Dridex
82cfc26e57ca8fdd2f47a24ba14fa1ee8e8b29a0d54909a9fdb6346171448754SHA256Dridex
547e81ee477ae73f30b4435bfa093d48082a0edfa3186a0e4af2eeab60b8d8e0SHA256Dridex
9bae6b37c68fccca453e2dd0f33b113dMD5Dridex
808f8aa2eb9c746712dd4793ba90da70MD5Dridex
89f99b617454ae1d26f9c5614f19fd30MD5Dridex
05f2a8023c445d3f0cdb3a151ab22d43MD5Dridex
d34090815345e28dd3a62aa3872e472cMD5Dridex

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Dridex Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.