Mirai Nedir?
Mirai, ilk olarak 2016 yılında gözlemlenen bir Botnet'dır. Temel amacı DDoS saldırısı ve spam kampanyalarına katılma olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.
Mirai is an open-source IoT botnet that turns infected devices into bots for DDoS attacks. Exploits default credentials on IoT devices. Source code leaked 2016.
Atıf / Tehdit Aktörü: NULL
Teknik Detay: C, brute-force Telnet/SSH kimlik bilgileri, multiple DDoS modulu (TCP/UDP/HTTP/DNS/GRE/VSE), process kill (competing malware/security tools), watchdog, iptables bypass
Nasıl Bulaşır?
- Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
- Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
- Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
- Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
- USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma
Enfeksiyon Belirtileri
- Sistem performansında ani ve açıklanamayan düşüş
- Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
- Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
- Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
Dosya Hash Değerleri (Antivirüs Tespiti İçin)
Gerçek Mirai örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:
| Hash Değeri | Tür | Not |
|---|---|---|
| 446b0339984f9637abd7e2117f969fc56e9f62126ff5f113fd400b3158f89ec2 | SHA256 | Mirai |
| 45203919ac0d8d4523885003019fe571bec89aaa165e92e661653cd9d3bcc6f0 | SHA256 | Mirai |
| 4c6f74f1ec9009ed6ef66b72a8e2412ea2606a2d4788b9b3fa3573a7f080f5c1 | SHA256 | Mirai |
| 3483feeaab0ee0e47bac105a2e36ff634917228cbbb8e422f1289aeee38a58e8 | SHA256 | Mirai |
| 505a10ef3b0f4206ca9242afa64d14977396223dd5babc0842ed82b49481a95a | SHA256 | Mirai |
| 2bb2f152e482c61934a873500e0dc191 | MD5 | Mirai |
| cd20aecf5a13cfb2217e64a8dac71cda | MD5 | Mirai |
| eae132b466adc97be5f44fe71ee404ce | MD5 | Mirai |
| e3dd18f8204782161243812edb090624 | MD5 | Mirai |
| 91b135ed8ee76e6b428964db5d88a299 | MD5 | Mirai |
Adım Adım Kaldırma Rehberi
Adım 1 — İnternet Bağlantısını Hemen Kesin
C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.
Adım 2 — Güvenli Modda Başlatın
Windows'u Ağ Destekli Güvenli Mod'da başlatın:
- Win + R →
msconfig→ Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat - Veya başlangıçta F8 (eski Windows sürümleri)
Adım 3 — Mirai Sürecini Sonlandırın
Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.
Adım 4 — Kötü Amaçlı Dosyaları Silin
Silinecek Dosya Yolları
Analizde Mirai'ın sisteme bıraktığı tespit edilen dosya yolları:
/tmp/.X19-unix/.lol— Mirai Linux bot path - sagma dosyasi
Bu dosyaları silmeden önce Görev Yöneticisi'nden ilgili süreçleri sonlandırın.
Adım 5 — Antivirüs ile Tam Sistem Taraması
Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):
- Malwarebytes
- RKill
- ESET Online Scanner
Adım 6 — Tarayıcıları Sıfırlayın
Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:
- Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
- Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
- Edge: Ayarlar → Ayarları Sıfırla
C2 Altyapısı — Ağ Düzeyinde Engelleme
Analizlerimizde tespit edilen Mirai C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:
IP Adresleri
45.142.142.14089.19.209.21445.142.142.14089.19.209.214
Domain Adresleri
mirai-botnet.ru
Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.
Yeniden Enfeksiyonu Önleme
- İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
- Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
- E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
- Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
- Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
- Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
- Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun
Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.