Bu rehber, gerçek Hive örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

Hive Nedir?

Hive, ilk olarak 2020 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. Go programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

Hive, Fidye Yazılımı (Ransomware) kategorisinde aktif olan ve dünya genelinde yaygın biçimde gözlemlenen bir zararlı yazılım ailesidir. Bu örnek, kurban sistemindeki dosyaları şifreleyerek erişimi engelleyen ve şifre çözme anahtarı karşılığında fidye talep eden bir fidye yazılımı olarak analiz edilmiştir. Güçlü asimetrik şifreleme algoritmalarını kullanan bu tehdit aktörü, şifreleme sonrasında Tor

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • Dosyalarınızın şifreli hale gelmesi ve fidye notu oluşması

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Hive örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
8a99353662ccae117d2bb22efd8c43d7169060450be413af763e8ad7522d2451SHA256NULL
62972fe96d08844656a758bf9ade11b97eb34c7844fb8f01d4942115ff9ebfbbSHA256NULL
02c280735b472354058060e2408e640021f2e6ee58cccbc537ff50920e1d087bSHA256NULL
977403e8a424d1a029369b715867c3056a4d0d8a1c75dcf9d84d9c56f9bcf802SHA256NULL
81b9fd825b7d6aa23c6bd641662d4dd2e1b0fbcf3a35efb61331f17e6fff1618SHA256NULL
527c71c523d275c8367b67bbebf48e9fMD5NULL
e4d48be384b5df59e0128a971b238263MD5NULL
c853f79a2092b4a5a38c60879c3ce4b9MD5NULL
158c2e6b90ab30f6fdf653255a2beba0MD5NULL
dfcfd98a75dc19cca3a0a2acd36c049cMD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — Hive Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes Anti-Malware
  • Emsisoft Emergency Kit
  • Windows Defender Çevrimdışı Tarama

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

Şifrelenmiş Dosyaların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

  • No More Ransom Projesi — ücretsiz şifre çözücüler veritabanı
  • VSS Kontrolü: vssadmin list shadows → önceki sürümleri geri yükleyin
  • Yedekten Geri Yükleme: Etkilenmemiş yedekten sistemi kurtarın
  • Kurtarma şu an mümkün değilse verileri saklayın — ilerleyen dönemde şifre çözücü yayınlanabilir

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

Hive — Malware Profile

Hive, 2021-2023 arasi aktif Rust/Go RaaS ailesidir. Ocak 2023 FBI operasyonuyla altyapisi ele gecirildi. Chisel.exe gibi LOTL araclari kullanir. Saglik, egitim, finans hedefler.

Malware Type
Ransomware
Programming Language
Go/C++
C2 Protocol
Target Systems
Windows/Linux

Technical Details

Ransomware ailesi: AES/RSA hibrid sifreleme, dosya uzantisi degistirme, shadow copy silme, C2 ile anahtar alis-verisi, fidye notu birakma, kullanici belgelerine odaklanma

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
Tags
temizlikkaldırmahiveransomwarevirüs temizleme