Bu rehber, gerçek RemcosRAT örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

RemcosRAT Nedir?

RemcosRAT, ilk olarak 2016 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde TCP/RC4 protokolünü kullanmaktadır.

Remcos (Remote Control & Surveillance), Breaking-Security tarafindan 2019 yilinda piyasaya surulmus ticari bir RAT tir. VBS ve macro tabanli spear-phishing saldirilarinda yogun sekilde kullanilan Remcos, sifrelenmis C2 iletisimi, klavye yakalama, ekran goruntüsü alma, ses/video kaydi ve credential hırsizligi yapabilmektedir. GuLoader ve DBatLoader ile birlikte kullanilarak tespitten kacma kabiliye

Atıf / Tehdit Aktörü: Breaking Security firmasinin isvicre tabanli olmasi nedeniyle ilk gelistirme AB'de gerceklestirilmistir; ancak surekli dunya genelinde siber suclu topluluklari tarafindan kullanilmaktadir.

Teknik Detay: TCP port 2404 (varsayilan), RC4 veya XOR sifreleme, C++ ile gelistirilmis, PE injection, UAC bypass (CMSTPLUA), AMSI bypass, Anti-debug (GetTickCount/RDTSC), DGA destekli C2, Keylogger, Screenshot, Audio

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek RemcosRAT örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
3061e2a6b00e4874345eb1e9dcab0e2390e0073608b31e5925e27af462ccff1aSHA256RemcosRAT statik analiz
26879111dbeee579e23b748b15a5d6d4343fced64122dcada6937a206acb2c40SHA256RemcosRAT statik analiz
3d57334d08deff6d7ba473d4388a4e45abb59ee8ddf96a5be81bdc333330ef57SHA256RemcosRAT statik analiz
522ff9a14cba958db505cf1a0d850f9d92a6394c0383952d0914086fdbc58f3cSHA256RemcosRAT statik analiz
5a57d9ee45a27122c6ec1a5a8cf6ed2366f0d8ef9c8f56a0072f38f365499a79SHA256RemcosRAT statik analiz
4ec9b540f58366b8eedfa56dc557c107MD5RemcosRAT statik analiz
e45c1caf3e6ec37add3aaee4b0d167e8MD5RemcosRAT statik analiz
8d806daa4495d11593c0a054feac5336MD5RemcosRAT statik analiz
c9be80b675c5b5b32bd399b831385e0eMD5RemcosRAT statik analiz
0f6bfc4ff87c556b84a4d63ebec1f934MD5RemcosRAT statik analiz

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — RemcosRAT Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Güvenlik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.