Konu Başlıkları Gizle
Selamlar, bu rehberde siber dünyada sıkça karşılaşılan ama çoğu zaman çok geç fark edilen bir tehdidi; RAT kavramını, teknik detaylarını ve korunma yollarını anlatacağım.
RAT, duruma göre iki farklı açılıma sahiptir:
RAT, basit bir virüs değildir; saldırganın bilgisayarınızın başına oturmasından farksızdır. RAT yediğinizde saldırgan şunları yapabilir:
Saldırganlar genellikle insan hatasından faydalanır.
"Antivirüsüm var, bana bir şey olmaz" demeyin. Saldırganlar, "Crypter" (Şifreleyici) adı verilen araçlarla virüsün kod yapısını karmaşıklaştırır. Buna FUD (Fully Undetectable) denir.
Antivirüsler genellikle bilinen virüs imzalarını (signature) arar. Crypter ile şifrelenmiş yeni bir RAT, antivirüs veritabanında henüz tanımlı olmadığı için "Temiz" olarak görünebilir. Bu yüzden antivirüs tek başına yeterli değildir, bilinçli kullanıcı olmak şarttır.
Manuel Kontrol İpuçları:
Eğer şüpheleniyorsanız ilk adım Kaspersky, Malwarebytes gibi güçlü veritabanına sahip araçlarla tarama yapmaktır. Ancak yukarıda bahsettiğim FUD durumu varsa en temiz yöntem şudur:
En Garanti Çözüm: Format
RAT, kendini sistemin Kayıt Defterine (Regedit), Görev Zamanlayıcısına ve sistem dosyalarının derinliklerine gömer (Persistence/Kalıcılık). Dosyayı silseniz bile, sistem yeniden başladığında kendini tekrar oluşturabilir.
Format attınız, virüs gitti. Bitti mi? Hayır.Saldırgan, virüs aktifken tarayıcı çerezlerinizi (Cookies) çalmış olabilir. Çerezler çalındıysa, saldırgan şifrenizi bilmese bile mailinize veya sosyal medya hesabınıza "giriş yapılmış gibi" erişebilir (Session Hijacking).
Yapılması gerekenler sırasıyla:
TeamViewer gibi araçlar yasal RAT'lardır ve kullanıcı izniyle çalışır. Ancak izinsiz erişim sağlayan araçları kullanmak ve yaymak suçtur. "Ben sadece şaka amaçlı arkadaşıma attım" demek sizi yasal yükümlülükten kurtarmaz.
Sanal dünyada en iyi antivirüs, kullanıcının kendisidir. Tıkladığınız yere dikkat edin, güvenmediğiniz kaynaklardan dosya indirmeyin.
İyi forumlar.
RAT Nedir?
RAT, duruma göre iki farklı açılıma sahiptir:
- Remote Administration Tool: Uzaktan yönetim aracı (Yasal kullanım, örn: TeamViewer, AnyDesk).
- Remote Access Trojan: Uzaktan erişim truva atı (Kötü amaçlı kullanım).
RAT Yediğinizde Neler Olabilir?
RAT, basit bir virüs değildir; saldırganın bilgisayarınızın başına oturmasından farksızdır. RAT yediğinizde saldırgan şunları yapabilir:
- Tam Erişim: Dosyalarınıza erişebilir, silebilir veya şifreleyebilir (Ransomware).
- Kişisel Veri Hırsızlığı: Tarayıcıda kayıtlı şifrelerinizi, kredi kartı bilgilerinizi ve çerezlerinizi (Session Cookies) çalabilir.
- Donanım Kontrolü: Webcam ve mikrofonunuzu açıp sizi izleyebilir/dinleyebilir (Şantaj amaçlı).
- Keylogger: Klavyede bastığınız her tuşu (şifreler dahil) kaydedebilir.
- Botnet (Zombi Bilgisayar): Bilgisayarınızı, başkalarına siber saldırı yapmak veya arka planda kripto para madenciliği (Mining) yapmak için kullanabilir.
RAT Nasıl Bulaşır? (Sosyal Mühendislik)
Saldırganlar genellikle insan hatasından faydalanır.
- Sahte Uzantılar: "Fatura.pdf" gibi görünen ama aslında "Fatura.pdf.exe" olan dosyalar. (Windows varsayılan olarak dosya uzantılarını gizlediği için kullanıcılar buna sık düşer).
- Cracked Yazılımlar: Torrent oyunlar veya hile programları.
- Oltalama (Phishing): "Kargonuz teslim edilemedi" gibi sahte mailler.
- Drive-by Download: Güvensiz bir siteye girdiğinizde tarayıcı açıkları kullanılarak otomatik inen dosyalar.
Antivirüsler Neden Bazen Görmez? (FUD ve Crypter Gerçeği)
"Antivirüsüm var, bana bir şey olmaz" demeyin. Saldırganlar, "Crypter" (Şifreleyici) adı verilen araçlarla virüsün kod yapısını karmaşıklaştırır. Buna FUD (Fully Undetectable) denir.
Antivirüsler genellikle bilinen virüs imzalarını (signature) arar. Crypter ile şifrelenmiş yeni bir RAT, antivirüs veritabanında henüz tanımlı olmadığı için "Temiz" olarak görünebilir. Bu yüzden antivirüs tek başına yeterli değildir, bilinçli kullanıcı olmak şarttır.
Manuel Kontrol İpuçları:
- Bilgisayar boştayken fanların hızlı dönmesi (Mining şüphesi).
- Görev Yöneticisi'nde veya "Başlangıç" sekmesinde tanımadığınız garip isimli uygulamalar.
- İnternet kullanımında sebepsiz artışlar.
RAT'tan Nasıl Kurtulurum?
Eğer şüpheleniyorsanız ilk adım Kaspersky, Malwarebytes gibi güçlü veritabanına sahip araçlarla tarama yapmaktır. Ancak yukarıda bahsettiğim FUD durumu varsa en temiz yöntem şudur:
En Garanti Çözüm: Format
RAT, kendini sistemin Kayıt Defterine (Regedit), Görev Zamanlayıcısına ve sistem dosyalarının derinliklerine gömer (Persistence/Kalıcılık). Dosyayı silseniz bile, sistem yeniden başladığında kendini tekrar oluşturabilir.
- Önemli verilerinizi (Resim, video gibi .exe olmayan dosyalar) yedekleyin.
- Tüm disklere (C: ve D: dahil) temiz kurulum (Format) yapın.
- Format öncesi bilgisayara takılı olan USB bellekleri, temiz bir bilgisayarda taratmadan tekrar takmayın. Virüs kendini USB'ye kopyalamış olabilir.
Temizlik Sonrası Kritik Adım: "Oturumları Kapatın"
Format attınız, virüs gitti. Bitti mi? Hayır.Saldırgan, virüs aktifken tarayıcı çerezlerinizi (Cookies) çalmış olabilir. Çerezler çalındıysa, saldırgan şifrenizi bilmese bile mailinize veya sosyal medya hesabınıza "giriş yapılmış gibi" erişebilir (Session Hijacking).
Yapılması gerekenler sırasıyla:
- Temiz bir cihazdan (veya formatlanmış PC'den) tüm şifrelerinizi değiştirin.
- Çok Önemli: Şifre değiştirdiğiniz her platformda (Google, Instagram, Banka vs.) "Tüm Cihazlardan/Oturumlardan Çıkış Yap" seçeneğini kullanın. Bu, saldırganın elindeki çerezleri geçersiz kılar.
- Mümkün olan her yerde 2FA (İki Aşamalı Doğrulama) açın. (SMS yerine Authenticator uygulaması kullanın).
- Banka kartlarınızı iptal ettirip yenisini isteyin.
Sonuç ve Yasal Boyut
TeamViewer gibi araçlar yasal RAT'lardır ve kullanıcı izniyle çalışır. Ancak izinsiz erişim sağlayan araçları kullanmak ve yaymak suçtur. "Ben sadece şaka amaçlı arkadaşıma attım" demek sizi yasal yükümlülükten kurtarmaz.
Sanal dünyada en iyi antivirüs, kullanıcının kendisidir. Tıkladığınız yere dikkat edin, güvenmediğiniz kaynaklardan dosya indirmeyin.
İyi forumlar.
