Bu rehber, gerçek WarzoneRAT örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 1 IP, 1 domain, 1 registry, 1 mutex).

WarzoneRAT Nedir?

WarzoneRAT, ilk olarak 2018 yılında gözlemlenen bir Uzaktan Erişim Truva Atı (RAT)'dır. Temel amacı sisteme tam uzaktan erişim, ekran görüntüsü, tuş kaydı ve dosya yönetimi olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

WarzoneRAT (AveMaria) is a C++ RAT sold on forums. Features UAC bypass, hidden RDP, HVNC, keylogging, and password stealing. Known for stealth and persistence.

Atıf / Tehdit Aktörü: Daniel Meli (Malta) tarafindan yonetilen MaaS operasyonu. 2024'te FBI tarafindan tutuklanmis ve botnet altyapisi cokertilmistir.

Teknik Detay: C++, AES-256 sifreleme, TCP, Hidden VNC, DVD kamera, Stealer, Privilege escalation, Anti-sandbox (CPUID kontrol), Bot iletisimi JSON tabanli

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek WarzoneRAT örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
31e5881b79919c18f8444ac3300eb2a3550100754d869d19a9ccacaf874df75bSHA256WarzoneRAT
536d2e05383047b6b1f38680c840aa099498965dfc13ceafb0ec3efaeb3b293eSHA256WarzoneRAT
ff7743a58c915481a6ad7d03525e15d0f9871658ce1497dfac490373850b9c11SHA256WarzoneRAT
13ae61a913fc0d89890243e1f50169af679c6c751afc7682d34d7e56d0ed9d73SHA256WarzoneRAT
6072185720cbcf2add1e2ada668484a4d55c601fcb2840ca6b7fbf9dfacdefb8SHA256WarzoneRAT
5ca8de5b7c87d36341f0578a03615aeeMD5WarzoneRAT
db8b61c879de14d0712856f4310bb83eMD5WarzoneRAT
20183dbb7fa75683e8082411a3521f24MD5WarzoneRAT
a2c7f8bde3104fbe91110ed88cd9a2a5MD5WarzoneRAT
78e0265f9bc8991dbb309aa52612eb46MD5WarzoneRAT

Süreç Tespiti — Mutex Değerleri

Process Explorer veya Process Hacker ile aşağıdaki mutex değerlerini arayın; bu değerlerin varlığı aktif WarzoneRAT enfeksiyonuna işaret eder:

  • WarZone160Mutex

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — WarzoneRAT Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Mutex listesini (yukarıdaki bölüm) Process Hacker ile kontrol edin.

Adım 4 — Registry Anahtarlarını Temizleyin

Silinecek Registry Anahtarları

Analizde WarzoneRAT'ın oluşturduğu veya değiştirdiği registry girdileri. Win+Rregedit ile yönetici olarak açın:

  • HKCUSoftwareMicrosoftWindowsCurrentVersionRunWarzoneRAT — WarzoneRAT Run key

Dikkat: Registry'den yanlış kayıt silmek sisteme zarar verebilir. Emin değilseniz önce yedek alın.

Adım 5 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 6 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen WarzoneRAT C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

Domain Adresleri

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Güvenlik İhlali Sonrası Yapılacaklar

RAT enfeksiyonu aktifse saldırgan sisteminize tam erişim sağlamış olabilir:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.