Bu rehber, gerçek IcedID örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

IcedID Nedir?

IcedID, ilk olarak 2017 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

IcedID (BazarLoader) is a banking trojan that delivers ransomware payloads. Uses SSL for C2 communication. Distributed via malspam.

Atıf / Tehdit Aktörü: TA551 (Shathak), TA578

Teknik Detay: IcedID (BazarLoader) is a banking trojan and loader first observed 2017. Man-in-the-browser attacks targeting banking credentials via web injections. BazarLoader component: delivers Ryuk, Conti, and other ransomware payloads. Uses HTTPS with TLS for C2, custom binary protocol. Delivered via malspam

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek IcedID örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
1240f20fa9ae95089b4991382cf8b080e093127390077d1cb8361ab62402ac81SHA256IcedID
17014299f399f71d1d6bed136b8c624a366b222166e692522d14e2bba70bb79fSHA256IcedID
4d1f75b3c608b9254382556062ad86b5be654a094fd297e003cb4c2fbacfae29SHA256IcedID
1f8806869616c18cbae9ffcf581c0428915d32fb70119df16d08078d92d1a5e3SHA256IcedID
77fdfc5339e10e1511f87bdd27f94463786381ef30d01fc9efc01c1a0dab0a85SHA256NULL
d9a174eb7d7d41950eff7f1b1f1c15a3MD5IcedID
8370a1edeea0634d8d5114d8dfb7762eMD5IcedID
0f296b65b5fc0e47d293c548d91a165dMD5IcedID
fd2d00b51e140543cfb5dc7a6e6197abMD5IcedID
98e4f5daae423b6b37e6e1dce681a812MD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — IcedID Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.