Bu rehber, gerçek QakBot örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

QakBot Nedir?

QakBot, ilk olarak 2007 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

QakBot (Qbot) is a banking trojan and loader that delivers ransomware. Modules for credential theft, email hijacking, lateral movement. Disrupted by FBI 2023.

Atıf / Tehdit Aktörü: Gold Lagoon, TA570 (Shatak)

Teknik Detay: QakBot (Qbot/QuakBot) is a banking trojan and loader active since 2007. Features: credential theft, email hijacking for thread hijacking attacks, lateral movement via SMB/psexec, web injection for banking fraud. Delivered via malspam using hijacked email threads (reply-chain attacks). Modules: email

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek QakBot örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
12094a47a9659b1c2f7c5b36e21d2b0145c9e7b2e79845a437508efa96e5f305SHA256QakBot
35ec4858f5f4f7c9c7cd27b9c48cfe3d8d4c03044974740f3fb0892bfe140a88SHA256QakBot
3b3bd81232f517ba6d65c7838c205b301b0f27572fcfef9e5b86dd30a1d55a0dSHA256QakBot
3f004293165057ac40d7d2dc663cc62c877ebe29601251dcca24b6aa1062b7afSHA256QakBot
fda2abd24764809fb36d4d2ee7ab5f6e8c06381fe6d9bb191bde62411c96ba92SHA256QakBot
88bbf2a743baaf81f7a312be61f90d76MD5QakBot
4e5d2557b5ce1e4743becb245baeb2c9MD5QakBot
acaf01f83da439915027c3e2e900c8ddMD5QakBot
48352eb8d435647c653d104d195ada3eMD5QakBot
f9073d4ac3089ecc2c43b73b3818582eMD5QakBot

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — QakBot Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.