⌘K
Duyuru
Duyurular

RAT Kullananlar Dikkat! - Paket Olmama Sanatı (OPSEC Rehberi)

Tc4dy

🚨 RAT Kullanırken Yakalanmamak İçin Neler Yapmalısın? (Başlangıçtan İleri Seviyeye Full OPSEC Rehberi) RAT kullanmak kolaydır, forumda bulursun, arkadaşın atar yada Github...

🚨 RAT Kullanırken Yakalanmamak İçin Neler Yapmalısın? (Başlangıçtan İleri Seviyeye Full OPSEC Rehberi)​

RAT kullanmak kolaydır, forumda bulursun, arkadaşın atar yada Github derinliklerinde bulur belki kendin yazarsın. Marifet olan kısım saldırı sonrası savunmadır, kimse umursamasa bile "Remote Access Trojan" savunmasız kullanmak ciddi seviyede güvenlik ihlali ve ciddi iş yapıyorsanız paket olma riskiniz ciddi anlamda yüksek.

Miyamoto Musashi - Beş Çember Kitabı: "Dövüş sanatında önce savunmayı öğrenirsin, sonra saldırmayı.

Bu rehberi okuyan birçok kişi RAT kullanmayı bilmiyor ama asıl sorun RAT kullanmak değil, yakalandıktan sonra "IP’m nereden bulundu?" diye ağlamak. İşte bu yazıda, script kiddie'lerin yaptığı bütün hataları ve onlardan nasıl sıyrılacağını anlatacağım.


🌱 Başlangıç Seviyesi – "Script Kiddie"den Kurtulma Rehberi​

Bu kısımda, klasik hataları yapan çocuklardan sıyrılıp, "ciddiye alınması gereken biri" olmaya başlıyorsun.

  1. Hazır RAT’leri Olduğu Gibi Kullanma: Github’dan indirdiğin bir RAT’ı, hiç değiştirmeden kullanıyorsan, zaten birkaç gün içinde güvenlik firmalarının elinde senin payload’ının imzası var demektir. Antivirüsler (Windows Defender dahil) bu imzaları tanır ve senin yazılımını daha kurulum aşamasında engeller. Yapman gereken şu: İndirdiğin RAT’ın kaynak kodunu al, basit bir "Crypter" (şifreleyici) ile imzasını değiştir. AES-256 gibi güçlü bir şifreleme kullan. Dosyanın hash’ini değiştirmediğin sürece, o dosya zaten "ölü" demektir.

  2. VPN Kullan, Ama Doğru VPN’i: RAT’ını kurmadan önce kendi IP’ni asla kullanma. İnternet kafeye gidip oradan bağlanmak da çözüm değil (güvenlik kameraları var!). Log tutmayan, Mullvad veya ProtonVPN gibi servisler kullan. Ama unutma, VPN bile seni tamamen gizlemez; sadece bir katmandır. Kesinlikle nakit veya Monero (XMR) ile ödeme yap. Kredi kartınla aldığın VPN’in log tutmaması imkansıza yakındır.

  3. Yayılma Yöntemini Akıllıca Seç: Kurbanına RAT’ı "Bak bu oyun hilesi.exe" diye yollama. E-postaları taklit et, güncel bir güvenlik açığı (0-day veya 1-day) kullan veya güvenilir bir yazılımın içine göm (Trojanize et). En sağlam yöntem, kurbana özel bir "phishing" (olta) sayfası hazırlamaktır. Kurbanın ilgisini çekecek bir konu bul, Word veya PDF dosyası içine makro göm.

  4. Test Et, Test Et, Test Et: RAT’ını hedefe yollamadan önce mutlaka Any.Run gibi bir sanal ortamda veya kendi kurduğun bir test makinesinde antivirüslerden kaçıp kaçmadığını dene. Eğer test ortamında "Virustotal" gibi bir yere yüklenirse, artık o RAT’ın dünyaya açılmış demektir. Farklı bir ortamda test et.

  5. Kalıcılık (Persistence) Konusunda Dikkatli Ol: RAT’ın her açılışta çalışsın isteriz ama Windows'un başlangıç klasörüne (Startup) kendini eklemek çok bariz. Bunun yerine, daha az kontrol edilen yöntemleri kullan: Görev Zamanlayıcı (Task Scheduler) veya Windows Kayıt Defteri (Registry) altında daha masum görünen bir anahtara yaz. Örneğin HKCU\Software\Microsoft\Windows\CurrentVersion\Run yerine, daha karmaşık bir CLSID (Class ID) kaydı oluştur. Unutma, RAT’ın ne kadar gizli kalırsa, sen de o kadar güvende olursun.

  6. Hedefini Dikkatli Seç: Kendi ülkenden veya yakın çevrenden hedef seçme. Çok büyük balıklara (büyük şirketler, hükümetler) bulaşma, çünkü onların güvenlik ekipleri (SOC - Security Operations Center) anormal trafiği anında yakalar. Daha küçük, güvenlik önlemleri zayıf hedeflerle başla. Bu, hem öğrenmen hem de yakalanma riskini minimuma indirmen için önemlidir.

🔥 Orta Seviye – "İz Bırakmayan Saldırgan" Olma Sanatı​

Artık sadece RAT çalıştırmıyorsun; aynı zamanda bir "Adli Bilişim Uzmanı" gibi düşünüyorsun. Bu seviyede, yaptığın her hareketin bir "iz" bıraktığını unutmuyorsun.

  1. Şifreli Bir Tünel (Encrypted Tunnel) Şart: RAT ile C2 (Command & Control) sunucun arasındaki trafik, güvenlik duvarları için "anormal" görünmemeli. Düz HTTP/HTTPS bile bazen yetmez, çünkü trafik desenin belli eder kendini. Kullandığın RAT eğer destekliyorsa, trafiğini DNS over HTTPS (DoH) üzerinden yönlendir veya Telegram API gibi meşru servislerin arkasına sakla (bu yöntemde RAT, Telegram botu gibi davranarak komutları oradan alır). Daha da profesyoneli, Malleable C2 Profili kullanmaktır. Bu, Cobalt Strike gibi araçlarda olan bir özelliktir; trafiğini, tamamen normal bir web sitesi ziyaretçisi gibi gösterirsin. Yani senin RAT’ının gönderdiği paketler, bir Facebook veya Google kullanıcısının paketleriyle neredeyse aynı görünür.

  2. Logları Temizlemek Bir Sanattır: Kurbanın makinesine girdikten sonra yaptığın her şey loglanır. RAT’ını kurduktan sonra, kullandığın her aracın (Mimikatz, bloodhound vb.) günlük kayıtlarını sil. Ama dikkat et: Olay Görüntüleyicisi (Event Viewer) başta olmak üzere, Windows'un farklı loglarını (Application, Security, System, Setup) temizle. Basitçe wevtutil cl komutu yetmez, bunun üzerini örtmek için logları tamamen kaldırmak yerine sadece belirli olay ID'lerini (Event ID) silen script'ler yaz. PowerShell ile yapabilirsin bunu. Unutma ki eğer logları komple silersen, güvenlik görevlisi "bir şeyler silinmiş" diye anlar. Bu yüzden sadece kendi izlerini yok eden, geri kalan her şeyi olduğu gibi bırakan bir yaklaşım benimse.

  3. Zamanlama (Timing) Her Şeydir: Dünyanın en iyi RAT’ını kullansan bile, kurbanın mesai saatleri içinde garip bir ağ trafiği oluşturursan yakalanırsın. Kurbanın aktif olmadığı zamanları tercih et. C2 sunucuna bağlanma zamanlamanı, kurbanın saat dilimine göre ayarla. Ayrıca sürekli bağlantıda kalma; veri aktarımı yapacağın zaman bağlan, işini bitir, ayrıl (beacon aralıklarını rastgele veya daha uzun tut). RAT’ının panik modunda kendi kendini imha etmesi gibi bir özellik varsa onu aktif et. Kurbanın makinesinde bir şeyler ters gittiğini hissettiğinde, bütün bağlantıları koparıp dosyaları silen bir "self-destruct" mekanizması işe yarar. İdeal bir RAT yönetimi için, tüm bu kontrolleri Telegram Botu veya özel bir web paneli üzerinden yapılandırabilirsin.

  4. Komut ve Kontrol (C2) Sunucunun Güvenliği: RAT'ı yönettiğin sunucu asla evindeki bilgisayar olmasın. Kirala bir VPS (Sanal Özel Sunucu), ama onu da kendi adınla alma. Monero ile ödeme yapabileceğin, log tutmayan ve sana "kimlik sormayan" bir VPS sağlayıcısı bul. Daha da iyisi, bir Bulut Sunucu (Cloud Server) kirala ve RAT'ının C2 trafiğini, normal bir web sitesi trafiği gibi göstermek için bir reverse proxy (örneğin Cloudflare veya AWS'nin API Gateway'i) kullan. Bu, senin sunucunun IP'sini gizler ve kurbanın ağındaki güvenlik duvarı, bağlantıyı "meşru" bir bulut hizmeti gibi algılar.

  5. Payload’ını "Fileless" (Dosyasız) Yap: RAT’ını kurbanın diskine yazmak her zaman bir risktir. Antivirüs taraması yapıldığında diski tarar ve dosyanı bulursa işin biter. Bu yüzden "fileless" (dosyasız) teknikleri öğren. Yani RAT’ını, kurbanın belleğine (RAM) enjekte et ve diskte bir dosya bırakma. Bunun için PowerShell veya WMI (Windows Management Instrumentation) kullanarak, doğrudan bellekte çalışan bir zararlı yazılım oluştur. Bellek sadece çalışırken vardır, bilgisayar yeniden başlatılınca kaybolur. Ancak, bir sonraki açılışta tekrar çalışması için diskte çok küçük ve masum görünen bir "stager" (başlatıcı) bırakmak zorunda kalabilirsin. Bu stager da kalıcılık için yine kayıt defterine veya görev zamanlayıcıya yazılır, ancak asıl zararlı kod belleğe yüklenir.

💀 İleri Seviye (Hardcore) – Donanımsal Gizlilik ve Gerçek Dünya Operasyon Güvenliği​

Buraya kadar geldiysen, artık sadece bir "bilgisayar korsanı" değil, bir operasyonun içinde gibi düşünüyorsun demektir. Bu seviyede, işin içine fiziksel dünya da giriyor.

  1. Kendi RAT’ını Kendin Yaz (Zero-Footprint): Hazır RAT’leri bir kenara bırak. Sıfırdan, kendi RAT’ını yaz. Python, C#, hatta C++ ile yazdığın özel bir RAT, antivirüslerin imza veritabanlarında olmadığı için "FUD (Fully Undetectable)" olmanın en garantili yoludur. Kendi şifreleme yöntemini, kendi komut setini ve kendi ağ protokolünü yaz. Bu sayede, dünyada senden başka kimse bu RAT’ı kullanmayacağı için imzası hiçbir yerde yoktur.
  • Teknik detay: RAT'ını yazarken, mevcut ve güncel bir güvenlik açığı (CVE) üzerinden çalışan bir "exploit" kullan. Örneğin, henüz yamalanmamış bir Windows veya Android güvenlik açığından (0-day) yararlanarak kurbana sız. Bu sayede, hedef makineye giriş yaparken kullanacağın "dropper" (yükleyici) dosyası, hiçbir antivirüs tarafından tespit edilmez. Bu teknik, sadece devlet destekli APT gruplarının (Örn: APT28, Lazarus Group) işidir.
  1. Donanımsal Anahtar ve Sanal Makine (VM) Tuzağı: RAT’ının tüm ayarlarını, şifrelerini ve C2 adresini, bilgisayarına takılı bir USB bellek içindeki şifreli bir dosyada sakla. Bilgisayarın ele geçirilse bile bu USB olmadan hiçbir şeye erişemesinler. Ayrıca, asla kendi ana bilgisayarından (host) RAT yönetme. Whonix veya Qubes OS gibi işletim sistemleri içinde bir sanal makine (VM) kur, tüm RAT işlemlerini oradan yap. Bu sayede, bir hata yapsan bile asıl bilgisayarının IP’si veya kimliği sızmaz. Edward Snowden'ın da kullandığı Qubes OS, her şeyi ayrı bir VM'de yapmana olanak tanır ve biri düşse bile diğerine sıçramaz. İleri seviye bir diğer yöntem ise, bir Raspberry Pi gibi küçük ve taşınabilir bir cihazı kullanarak onu bir "C2 proxy" haline getirmektir. Bu cihazı bir halka açık Wi-Fi ağına (kafe, havaalanı) bağlarsın ve sen evinden, bu cihaz üzerinden RAT'larını yönetirsin. Sıkıştığında ise cihazı fiziksel olarak yok edersin.

  2. Adli Bilişime Karşı Savunma: RAT kullanırken, kurbanın makinesinde bıraktığın her tıklama, her komut bir izdir. Bu yüzden "Live-off-the-land" (topraktan geçinme) taktiğini uygula. Yani RAT’ından sonra kurbana ekstra bir araç indirme. Windows'un kendi araçlarını kullan: powershell, wmic, net, vssadmin. Bu araçlar zaten sistemde var olduğu için ekstra dosya bırakmazsın ve güvenlik yazılımları bu araçların çalışmasını engellemez. Bu teknik, gerçek APT (Gelişmiş Kalıcı Tehdit) gruplarının en sevdiği yöntemdir. Ayrıca kurbandan dosya çalman gerekiyorsa, onu doğrudan kendi C2'ne yollamak yerine, Rclone gibi bir aracı meşru bir bulut servisi (Dropbox, Google Drive) ile kullan. Dosyayı kurbandan önce şifreleyip buluta yükle, sonra oradan çek. Bu, ağındaki trafiğin "şifreli bir RAT bağlantısı" değil de "bir Dropbox senkronizasyonu" gibi görünmesini sağlar.

  3. Gözden Kaybolma Sanatı: "Off-Grid" Olmak: İnternet üzerinden yaptığın her şey bir şekilde izlenebilir. Bu yüzden, iletişim ve dosya transferleri için Tor ve I2P ağlarını kullan. Hatta sadece internet üzerinde değil, fiziksel dünyada da "gözden kaybolmayı" öğren. Bir Wi-Fi ağına bağlanmak için asla aynı noktadan iki kere bağlanma. Airbnb veya kafe gibi farklı, güvenilir olmayan ağları kullan. Bu ağların kamera kayıtlarını, giriş yapan kişileri tutup tutmadığını asla bilemezsin. Bu yüzden işin bittiğinde, kullandığın her şeyi yakıp yok etmeye hazır ol.

  4. Gerçek Hayattan Dersler: Yakalananların Hataları: Her hafta bir "hacker" yakalanıyor ve medyaya "dahi hacker" diye manşet atıyor. İşin gerçeği, o "dahi hacker" basit bir hata yaptığı için yakalandı. Mesela RAT'ını kurduğu makineden kendi kişisel e-postasını kontrol etti. Veya C2 sunucusuna kendi evindeki internetten, VPN'siz bağlandı. Veya RAT'ının içinde kendi kullanıcı adını, "contact@..." gibi bir bilgi bıraktı. Sana düşen, onların bu amatör hatalarını yapmamak. Kimseye güvenme, en ufak bir şüphede tüm altyapını değiştir. Unutma, bu işin en zor kısmı teknik bilgi değil, sürekli paranoyak olabilme disiplinidir.

📌 Unutma, En Zayıf Halka Sensin!

Bu rehberdeki her şeyi uygulasan bile, bir gün bir anlık dikkatsizlikle her şeyi mahvedebilirsin. Bu yüzden asla rahatlama, asla "bu seferlik" deme. Operasyonel Güvenlik (OPSEC) bir alışkanlıktır, bir araç değil. Şimdi kalk ve bu yazdıklarımı bir kenara not et. Unutma, gölgelerde kalmak istiyorsan, ışığı asla kendine tutmayacaksın. Aklında bulunsun: Paranoyak olan hayatta kalır, gerisi sadece birer istatistiktir.

Not: Bu rehber, eğitim ve farkındalık amaçlıdır. Yetkisiz erişim ve siber saldırılar yasa dışıdır. Tüm sorumluluk kullanıcıya aittir.
 
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
Yanıt için giriş yapmanız veya üye olmanız gerekir.
132,586Konular
3,282,528Mesajlar
317,786Kullanıcılar
rıderrrr543Son Üye

About Us & Legal Notice

Yasal Uyarı: spyhackerz.org, 5651 sayılı Kanun kapsamında “Yer Sağlayıcı”dır. Sitedeki içerikler, X, Instagram ve Facebook’ta olduğu gibi, ön onay olmadan tamamen kullanıcılar tarafından paylaşılır. Bu nedenle spyhackerz.org, kullanıcı içeriklerini veya hukuka aykırı paylaşımları izlemek, denetlemek ve araştırmakla yükümlü değildir. Site bünyesinde herhangi bir “saldırı ekibi” bulunmamaktadır ve Türkiye’deki internet sitelerine yönelik zararlı faaliyet yürütülmez. SPYHACKERZ, üyelerin bireysel olarak gerçekleştirdiği hacking içerikli forum faaliyetlerinden sorumlu değildir. spyhackerz.org adı kullanılarak bir saldırı yapılması halinde tüm sorumluluk yalnızca ilgili üyeye aittir.
Üst Alt