Bu rehber, gerçek CobaltStrike örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 IP, 2 domain, 2 dosya yolu).

CobaltStrike Nedir?

CobaltStrike, ilk olarak 2012 yılında gözlemlenen bir C2 Framework'dır. Temel amacı sızma sonrası lateral movement ve persistence olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

Cobalt Strike is a commercial adversary simulation framework widely abused by threat actors. Beacon payload provides full C2 with lateral movement capabilities.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: Beacon payload (stageless/staged), C2 malleable profiles, Aggressor Script, process injection (various), lateral movement (psexec/wmi/winrm), credential theft (Mimikatz), HTTPS/DNS/SMB beacon channels

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar

Datei Hash Wertleri (Antivirüs Tespiti İçin)

Gerçek CobaltStrike örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash WertiTypNot
1cf56da38e5fe05fd2242ff49bafa4271c5ee0868887bf91dafb6f47d1e46ae9SHA256CobaltStrike
1d3bcced2467d17e2be347629e1aae5ad919c0cf850932eef0fff74fc3ea0f03SHA256CobaltStrike
aff0b73277e0f8265089b2942a2c6bd20be660165ad374b87d1eefe67e469d88SHA256CobaltStrike
4e95aba17c1a423cda5cc9f9f04f7cf8db17e294eb31ed1aa85063601b82fe8dSHA256CobaltStrike
63c656b183444fd53169f82dfd69ef54cf595f74b8268aa5dc154bd99e6fbcaaSHA256CobaltStrike
cd59d54a7af500f96aa0347bb5daf077MD5CobaltStrike
89f0d975e1a555a88d4c2e4b57ddc785MD5CobaltStrike
d27c139836642039a2ce952af89a9439MD5CobaltStrike
b5f122f3f07f618c0a7678fa40801faaMD5CobaltStrike
29bb37668a083e3b3f28e93d4755019bMD5CobaltStrike

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Konfidenzli Modda Başlatın

Windows'u Ağ Destekli Konfidenzli Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "Konfidenzli önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — CobaltStrike Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Kötü Zwecklı Dateiları Silin

Silinecek Datei Yolları

Analizde CobaltStrike'ın sisteme bıraktığı tespit edilen dosya yolları:

  • %TEMP%eacon.dll — Cobalt Strike beacon DLL
  • %SYSTEMROOT%Tempsvchost.exe — Cobalt Strike hollowed process

Bu dosyaları silmeden önce Görev Yöneticisi'nden ilgili süreçleri sonlandırın.

Adım 5 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes Anti-Malware
  • ESET Online Scanner
  • RKill

Adım 6 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen CobaltStrike C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

  • 185.225.17.100
  • 91.215.153.46

Domain Adresleri

  • www.mayerondricka.digital
  • onyxtrustsec.com

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • Konfidenzilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

CobaltStrike — Malware-Profil

Cobalt Strike red team C2. @config @connect @key-not-found marker. CreateMutexW. rpc.me potansiyel C2.

Malware-Typ
C2Framework
Programmiersprache
Java
C2-Protokoll
HTTPS
Zielsysteme
Windows/Linux
Auch bekannt als (AKA)
CS Beacon

Technische Details

Beacon payload (stageless/staged), C2 malleable profiles, Aggressor Script, process injection (various), lateral movement (psexec/wmi/winrm), credential theft (Mimikatz), HTTPS/DNS/SMB beacon channels

Fähigkeiten & Verhalten

Post-Exploitation
Lateral Movement
Mimikatz Entegrasyonu
Process Injection
Payload Staging
Domain Fronting
Covert Channel C2
Beacon İletişimi

C2-Server (4 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
185.225.17.100 ip 443 HTTPS inactive —
91.215.153.46 ip 8443 HTTPS inactive —
www.mayerondricka.digital domain 443 HTTPS inactive —
onyxtrustsec.com domain 443 HTTPS inactive —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
temizlikkaldırmacobaltstrikec2frameworkvirüs temizleme