Bu rehber, gerçek Mirai örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 4 IP, 1 domain, 1 dosya yolu).

Mirai Nedir?

Mirai, ilk olarak 2016 yılında gözlemlenen bir Botnet'dır. Temel amacı DDoS saldırısı ve spam kampanyalarına katılma olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

Mirai is an open-source IoT botnet that turns infected devices into bots for DDoS attacks. Exploits default credentials on IoT devices. Source code leaked 2016.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C, brute-force Telnet/SSH kimlik bilgileri, multiple DDoS modulu (TCP/UDP/HTTP/DNS/GRE/VSE), process kill (competing malware/security tools), watchdog, iptables bypass

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar

Datei Hash Wertleri (Antivirüs Tespiti İçin)

Gerçek Mirai örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash WertiTypNot
446b0339984f9637abd7e2117f969fc56e9f62126ff5f113fd400b3158f89ec2SHA256Mirai
45203919ac0d8d4523885003019fe571bec89aaa165e92e661653cd9d3bcc6f0SHA256Mirai
4c6f74f1ec9009ed6ef66b72a8e2412ea2606a2d4788b9b3fa3573a7f080f5c1SHA256Mirai
3483feeaab0ee0e47bac105a2e36ff634917228cbbb8e422f1289aeee38a58e8SHA256Mirai
505a10ef3b0f4206ca9242afa64d14977396223dd5babc0842ed82b49481a95aSHA256Mirai
2bb2f152e482c61934a873500e0dc191MD5Mirai
cd20aecf5a13cfb2217e64a8dac71cdaMD5Mirai
eae132b466adc97be5f44fe71ee404ceMD5Mirai
e3dd18f8204782161243812edb090624MD5Mirai
91b135ed8ee76e6b428964db5d88a299MD5Mirai

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Konfidenzli Modda Başlatın

Windows'u Ağ Destekli Konfidenzli Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "Konfidenzli önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — Mirai Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Kötü Zwecklı Dateiları Silin

Silinecek Datei Yolları

Analizde Mirai'ın sisteme bıraktığı tespit edilen dosya yolları:

  • /tmp/.X19-unix/.lol — Mirai Linux bot path - sagma dosyasi

Bu dosyaları silmeden önce Görev Yöneticisi'nden ilgili süreçleri sonlandırın.

Adım 5 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes
  • RKill
  • ESET Online Scanner

Adım 6 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen Mirai C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

  • 45.142.142.140
  • 89.19.209.214
  • 45.142.142.140
  • 89.19.209.214

Domain Adresleri

  • mirai-botnet.ru

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • Konfidenzilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

Mirai — Malware-Profil

Mirai, IoT DDoS botnet'idir.

Malware-Typ
Botnet
Programmiersprache
C
C2-Protokoll
TCP
Zielsysteme
Linux/IoT

Technische Details

C, brute-force Telnet/SSH kimlik bilgileri, multiple DDoS modulu (TCP/UDP/HTTP/DNS/GRE/VSE), process kill (competing malware/security tools), watchdog, iptables bypass

Fähigkeiten & Verhalten

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

C2-Server (2 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
45.142.142.140 ip 23 TCP active —
89.19.209.214 ip 23 TCP inactive —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
temizlikkaldırmamiraibotnetvirüs temizleme