Bu rehber, gerçek NanoCore örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

NanoCore Nedir?

NanoCore, ilk olarak 2013 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. .NET/C# programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

NanoCore RAT is a .NET-based RAT sold on underground forums since 2013. Plugin-based architecture. Config in XML Resources. Default port 54154.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: .NET, plugin tabanli (DLL eklentiler), AES-128 sifreleme, port TCP dinamik, Mutex rastgele GUID, GetAsyncKeyState keylogger, Clipboard monitor, Remote Shell (cmd.exe), Hidden VNC, Password Recovery

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek NanoCore örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
10e23ac0190ab98cc4f6c851045279038a54dbaa1d30ae0ac6fa16543f7c0d1dSHA256NanoCore
1b0929f74cbccc7bc9a4aca3f67bf0341dd05c4c15f70ed52a959e0d57c07e7cSHA256NanoCore
1d805377c6dc2c4321897789d82add4d2e83e947c5fe2a182061484db840d7bbSHA256NanoCore
af154a4bb20730e0d8f7e88179b1797d8e67b23302ee2a0fa152dbd23a39a9ddSHA256NanoCore
f75948dd2d03ba9ea853be45c0645b0c25b9e8109f7244e920a5c2569c67ce88SHA256NanoCore
6d072d7f5d189f7714b3ef04bc0c2aecMD5NanoCore
2a5a906be1184d34d8f342d33a27966fMD5NanoCore
04f340ede96f607f310a9ca67370a5e5MD5NanoCore
5fea3f930de097794a95ced9dbae500cMD5NanoCore
f33124f5bd5f8c3e879b168ffafeb3c5MD5NanoCore

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — NanoCore Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Güvenlik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.