SmokeLoader Nedir?
SmokeLoader, ilk olarak 2011 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.
SmokeLoader is a modular loader/dropper active since 2011. Delivers various payloads. Known for heavy obfuscation and anti-analysis techniques.
Atıf / Tehdit Aktörü: Unknown (sold on underground forums, multiple operators)
Teknik Detay: SmokeLoader (Dofoil/Smoke Bot) is a modular loader/downloader active since 2011. Primary function: download and execute additional payloads (Emotet, TrickBot, FormBook, Ursnif). Heavy obfuscation: string encryption (RC4+XOR), process injection via APC, code injection. Heaven's Gate technique: switch
Nasıl Bulaşır?
- Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
- Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
- Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
- Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
- USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma
Enfeksiyon Belirtileri
- Sistem performansında ani ve açıklanamayan düşüş
- Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
- Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
- Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
Dosya Hash Değerleri (Antivirüs Tespiti İçin)
Gerçek SmokeLoader örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:
| Hash Değeri | Tür | Not |
|---|---|---|
| 0b06c6a25000addde175277b2d157d5bca4ab95cbfe3d984f1dba2ecefa3a4cd | SHA256 | SmokeLoader |
| 10dbe605fd72cb147a95eadc7b7fff74d8012f2eb99d07f9d33e9df7c377c2e6 | SHA256 | SmokeLoader |
| 269d2ae2661789f8929d934a7f7e44b6d6fa2e2fc3799fd53b44988aed906b1f | SHA256 | SmokeLoader |
| 06bd471ea00320a2172fa5da5c0c8564abb02f8420264d5dd76cdf8ac39bca1b | SHA256 | SmokeLoader |
| 3712453c788033dda85ccd56598c70e2339823f104badb5ac9197a5335b43497 | SHA256 | SmokeLoader |
| 53da8bea71bfe1b72632e354166437fb | MD5 | SmokeLoader |
| 11bf0445497a41f6991c3b5cbdbe0d2c | MD5 | SmokeLoader |
| fda3cbb7ca00beee2e96fa7120dc440e | MD5 | SmokeLoader |
| 9983c9e4a8a92439555051142a797294 | MD5 | SmokeLoader |
| d8ab98c9b52eebab357b9403576190ea | MD5 | SmokeLoader |
Adım Adım Kaldırma Rehberi
Adım 1 — İnternet Bağlantısını Hemen Kesin
C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.
Adım 2 — Güvenli Modda Başlatın
Windows'u Ağ Destekli Güvenli Mod'da başlatın:
- Win + R →
msconfig→ Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat - Veya başlangıçta F8 (eski Windows sürümleri)
Adım 3 — SmokeLoader Sürecini Sonlandırın
Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.
Adım 4 — Antivirüs ile Tam Sistem Taraması
Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):
- Malwarebytes Anti-Malware
- ESET Online Scanner
- RKill
Adım 5 — Tarayıcıları Sıfırlayın
Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:
- Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
- Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
- Edge: Ayarlar → Ayarları Sıfırla
C2 Altyapısı — Ağ Düzeyinde Engelleme
Analizlerimizde tespit edilen SmokeLoader C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:
IP Adresleri
80.66.75.36148.72.171.175185.173.35.1691.243.44.247
Domain Adresleri
torcavpcs1.atitech.com
Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.
Yeniden Enfeksiyonu Önleme
- İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
- Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
- E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
- Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
- Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
- Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
- Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun
Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.