Dijital para çağında kripto para madenciliği popüler bir gelir kaynağı haline geldi. Ancak bu teknolojinin gelişimiyle birlikte yeni bir tehdit ortaya çıktı - gizli madencilik için kötü niyetli yazılım, ayrıca kriptocanavarı olarak da bilinir. Bu programlar, cihazınızın hesaplama kaynaklarını gizlice kullanarak siber suçlulara kazanç sağlamakta ve sistemin performansını önemli ölçüde düşürmektedir. Bu kılavuzda, dijital ortamınızın güvenliğini sağlamak için bu tür tehditleri tespit etme ve kaldırma konusunda profesyonel yöntemleri inceleyeceğiz.

Madencilik için zararlı yazılım nedir ve nasıl çalışır

Kötü amaçlı yazılım (crypto mining malware), kullanıcı bilgisayarına gizlice kurulan ve kripto para madenciliği için hesaplama gücünün izinsiz kullanımını sağlamak amacıyla tasarlanmış özel bir kötü amaçlı yazılım türüdür. Kullanıcının isteğiyle başlattığı meşru madencilikten farklı olarak, kripto madenciliği gizli bir şekilde çalışır ve elde edilen kripto parayı saldırganların cüzdanlarına gönderir.

Madencilik zararlı yazılımının çalışma teknik özellikleri:

1. Enfeksiyon Mekanizması:

   • Phishing kampanyaları ve zararlı ekler aracılığıyla
   • Korsan yazılım yüklerken
   • Yamanlanmamış yazılımlardaki güvenlik açıkları aracılığıyla
   • Web tarayıcılarında JavaScript enjeksiyonları ile

2. Zararlı yazılımın eylem algoritması:

   • Sistem süreçlerine kurulum ve maskeleme
   • Sistem başlangıcında otomatik başlatma
   • Kendi kodunun tespitten kaçınmak için optimize edilmesi
   • Madencilik için kaynak yoğun hesaplamaların kullanımı

3. Hedef Kripto Paralar:

   • Monero (XMR) — işlemlerin anonimliği nedeniyle en popüler olanıdır.
   • Ethereum (ETH) — grafik işlemciler için kullanımı
   • Bitcoin (BTC) — donanım gereksinimlerinin yüksek olmasından dolayı daha az

Sistem Teşhisi: Madencilik Virüsü Belirtileri

Kryptojacking'in zamanında tespit edilmesi, sisteminizi korumak için kritik öneme sahiptir. Kompromizasyonun ana göstergelerini inceleyelim:

Enfeksiyonun temel semptomları:

1. Anomalik sistem performansı:

   • Bilgisayarın çalışma hızında önemli bir yavaşlama
   • Temel işlemlerin gerçekleştirilmesinde gecikmeler
   • Uygulamaların yüklenme süresinin arttırılması

2. Tipik olmayan yükleme bileşenleri:

   • Boşta iken CPU/GPU'nun sürekli olarak %70-100 yüklenmesi
   • Soğutma sisteminin gürültüsü, en düşük aktivitede bile
   • Cihazın bekleme modunda kritik aşırı ısınması

3. Enerji Tüketimi ve Ağ Aktivitesi:

   • Elektrik tüketiminde önemli artış
   • Anormal ağ trafiği madencilik havuzlarına
   • Mesai dışındaki alışılmadık aktiviteler

4. Sistem anomalleri:

   • Yüksek kaynak tüketimi olan bilinmeyen süreçlerin ortaya çıkması
   • Yetkisiz tarayıcı eklenti modifikasyonları
   • Antivirüs yazılımı veya güvenlik duvarının devre dışı bırakılması

Kripto madencilerin tespitine yönelik teknik yöntemler

Zararlı madencileri tespit etmek için çeşitli sistem analiz yöntemlerini birleştiren bütünsel bir yaklaşım kullanılmalıdır.

Yöntem 1: Sistem süreçlerinin analizi

Görev Yöneticisi (Task Manager) ve benzeri araçlar, şüpheli etkinlikleri tespit etmeyi sağlar:

1. Standart araçlar ile teşhis:

   • Windows: Görev Yöneticisi'ni başlatmak için Ctrl + Shift + Esc tuşlarına basın
   • macOS: Aktivite İzleyicisi (Activity Monitor)'i açın
   • Linux: terminalde top veya htop komutlarını kullanın

2. Şüpheli süreçlerin belirtileri:

   • Yüksek kaynak tüketimi olan bilinmeyen süreçler
   • Sistem benzeri, ancak hafifçe değiştirilmiş isimlerle (svchosd.exe yerine svchost.exe)
   • Standart dışı dizinlerden başlatılan süreçler

3. Süreçlerin Derinlemesine Analizi:

   Özel dikkat gerektiren süreçler:

   • XMRig, cpuminer, minerd
   • Boşta kalan durumda GPU'ya yüksek yük getiren işlemler
   • Şeffaf olmayan ağ bağlantıları olan programlar

Yöntem 2: Uzmanlaşmış antivirüs koruma araçları

Modern antivirüs çözümleri kripto madenciliğini tespit etmek için özel mekanizmalara sahiptir:

1. Önerilen antivirüs programları:

   • Kaspersky: kripto madencilerini tespit etmek için özel algoritmalara sahiptir
   • Malwarebytes: gizli tehditler ve PUP (potansiyel istenmeyen programlar) karşı etkili
   • Bitdefender: madencileri tespit etmek için davranışsal analizi kullanır

2. Kontrol algoritması:

   • Antivirüs yazılımının en son sürümüne kurulumu ve güncellenmesi
   • Sistemin tam taramasının heuristik yöntemler kullanılarak başlatılması
   • Tespit edilen tehditlerin analizi için karantina kontrolü

3. Taramanın sonuçlarının yorumlanması: Madencilik zararlı yazılımlar genellikle şu şekilde sınıflandırılır:

   • Trojan.CoinMiner
   • PUA.BitCoinMiner
   • Win32/CoinMiner
   • Trojan:Win32/Tiggre!rfn

Yöntem 3: Başlangıç ve Görev Zamanlayıcısı Analizi

Kripto madencileri, yeniden başlatma sonrasında yeniden enfekte olmak için genellikle otomatik başlatmaya entegre edilir:

1. Otomatik Başlatma Kontrolü:

   • Windows: msconfig (Win+R → msconfig) veya Autoruns kullanın
   • macOS: Sistem Tercihleri → Kullanıcılar & Gruplar → Giriş Öğeleri
   • Linux: systemd hizmetlerini veya crontab'ı kontrol edin

2. Görev Planlayıcısının Analizi:

   • Windows: şüpheli görevleri aramak için Görev Zamanlayıcısını açın
   • Linux/macOS: crontab -l komutunu kullanarak crontab'ı kontrol edin

3. Teknik Göstergesi: Şifreli komutlar içeren görevler veya -WindowStyle Hidden veya -ExecutionPolicy Bypass parametreleri ile PowerShell betikleri çalıştıran görevler üzerinde dikkatli olun.

4. Yöntem: Ağ bağlantılarını izleme

Madencilik kötü amaçlı yazılım, dış sunucularla etkileşimde bulunmalıdır:

1. Ağ Aktivitesinin Analizi: bash

   Windows'ta şu komutu kullanın:

   netstat -ano | findstr ESTABLISHED

   Linux/macOS'ta:

   netstat -tuln

2. Şüpheli bağlantıların aranması:

   • Bilinen madencilik havuzlarına bağlantıları kontrol edin
   • (3333, 14444, 8545) gibi alışılmadık portlara dikkat edin.
   • Wireshark'ı trafik derin analizi için kullanın

3. Şüpheli Trafik Belirtileri:

   • Sürekli bağlantılar aynı IP adresleriyle
   • Küçük hacimli düzenli veri iletimleri
   • Şifrelenmemiş Stratum protokol bağlantısı ( madencilikte kullanılır )

Madencilik Kötü Amaçlı Yazılımının Kaldırılmasına Profesyonel Yaklaşım

Zehirlenme tespit edildikten sonra tehdidi ortadan kaldırmak için bir dizi önlem alınmalıdır:

Aşama 1: İzolasyon ve İlk Temizlik

1. Kötü amaçlı yazılımın çalışmasının kesilmesi:

   • C&C sunucularıyla iletişimi önlemek için cihazı internetten ayırın
   • Tanımlanan zararlı süreçleri görev yöneticisi üzerinden sonlandırın
   • Kötü amaçlı yazılımların otomatik olarak başlatılmasını önlemek için (Güvenli Mod)'da yükleyin

2. Tespit edilen bileşenlerin kaldırılması:

   • Tanımlanan tehditleri hedef alarak kaldırmak için antivirüs yazılımı kullanın
   • Şüpheli dosyaların varlığı için geçici dizinleri kontrol edin
   • Tarayıcı uzantılarını ve eklentilerini zararlı bileşenlerden temizleyin

Aşama 2: Derin Sistem Temizliği

1. Uzman araçların kullanımı:

   • RKill, gizli süreçlerin sonlandırılması için
   • AdwCleaner, reklam yazılımlarını tespit etmek ve kaldırmak için
   • Farbar Recovery Scan Tool için sistemin derinlemesine analizi

2. Kayıt ve sistem dosyalarının temizlenmesi:

   • Kötü amaçlı başlangıç anahtarlarının kaldırılması
   • Değiştirilmiş sistem dosyalarının kurtarılması
   • Yönlendirmeleri önlemek için DNS ayarlarını sıfırlama

3. Temizleme Teknik Algoritması:

   1. Ağı destekli güvenli modda sistemi yükleyin
   2. RKill'i kurun ve çalıştırın
   3. Malwarebytes ve HitmanPro ile tarama yapın
   4. sfc /scannow komutuyla sistem dosyalarını kontrol edin ve onarın
   5. dism /online /cleanup-image /restorehealth komutunu çalıştırın.

Aşama 3: Yeniden enfeksiyonun önlenmesi

1. Sistem koruması:

   • İşletim sistemini ve tüm yazılımları güncelleyin
   • Davranış izleme modülü ile sürekli antivirüs koruması kurun
   • Gelişmiş ayarlarla güvenlik duvarını etkinleştirin

2. Tarayıcı Güvenliği:

   • Script engelleyicileri (ScriptSafe, NoScript) kurun
   • Madencileri engellemek için uzantıları kullanın (MinerBlock, NoCoin)
   • Tarayıcı önbelleğini ve çerezleri düzenli olarak temizleyin

3. Organizasyonel Önlemler:

   • Verilerin düzenli olarak yedeklenmesi pratiğini benimseyin
   • Anomalilerin varlığı için sistemi periyodik olarak kontrol edin
   • Güvenilir olmayan kaynaklardan dosya yüklemekten kaçının

Kripto Cüzdan Hırsızlığına Karşı Teknik Önleyici Önlemler

Uzun vadeli madencilik virüslerine karşı koruma için aşağıdaki teknik önlemlerin uygulanması önerilmektedir:

1. Çok katmanlı koruma sistemi

Temel Seviye:

• OS ve uygulamaların düzenli güncellenmesi
• Heuristik analiz özelliğine sahip güvenilir bir antivirüs yazılımı kullanma
• Bilinmeyen bağlantıları engellemek için güvenlik duvarı ayarları

İleri seviye:

• İhlal önleme sistemi (IPS)
• Şüpheli programları çalıştırmak için kum havuzu kullanımı
• Sistem günlüklerinin düzenli izlenmesi

2. Sistem kısıtlamalarının ayarlanması

Kaynak Yönetimi:

• Kullanıcı süreçleri için CPU limitlerinin ayarlanması
• Sistem bütünlüğü kontrol çözümlerinin uygulanması (IDS)
• İzinli uygulamalar için beyaz liste kullanımı

Ağ kısıtlamaları:

• Bilinen madencilik havuzlarının DNS düzeyinde engellenmesi
• Stratum protokolünün yönlendiricide filtrelenmesi
• Anormal ağ trafiğinin izlenmesi

3. Kullanıcılar için eğitim önlemleri

• Phishing saldırıları ve sosyal mühendislik belirtilerinin tanınması
• Güvenli web tarayıcı ve dosya indirme uygulamaları
• Kötü amaçlı yazılım için sistemin periyodik kontrolü

Kripto Cüzdan Hırsızlığına Karşı Koruma ve Özellikleri

Tarayıcı kripto madenciliği

Özellikler:

• Tarayıcıda doğrudan JavaScript ile çalışır
• Sadece enfekte siteleri ziyaret sırasında aktiftir
• Çalıştırılabilir dosyaların kurulmasını gerektirmez

Koruma Yöntemleri:

• Uzmanlaşmış uzantıların kullanımı: MinerBlock, NoScript, uBlock Origin
• Kontrol edilmeyen sitelerde JavaScript'in devre dışı bırakılması
• Web sayfalarını ziyaret ederken CPU üzerindeki yük izleme

Bulut Kripto Cüzdanı

Özellikler:

• Sunucu altyapısına ve bulut bilişime odaklanmıştır
• Docker, Kubernetes ve API'deki zayıflıkları kullanır
• Bulut ödemeleri nedeniyle önemli finansal kayıplara yol açabilir.