Günümüz siber saldırıları artık klasik zararlı yazılım kalıplarını terk etmiş durumda. 2025’in sonlarına doğru yaşanan ve CISA tarafından analiz edilen gerçek bir olay, modern saldırganların nasıl tek bir zararlı dosya bile bırakmadan kurum ağlarında aylarca kalabildiğini gözler önüne seriyor.
Bu olay, özellikle Living-off-the-Land (LotL) ve post-exploit persistence tekniklerinin neden 2026 itibarıyla en kritik tehdit başlıkları arasında yer aldığını net biçimde ortaya koyuyor.
Saldırganlar sisteme doğrudan bir zararlı yazılım yüklemek yerine, mevcut kullanıcı hesapları ve meşru sistem servisleri üzerinden erişim sağladı. İlk aşamada kullanılan yöntemler klasik bir “hack” izlenimi yaratmadı; aksine, dışarıdan bakıldığında normal kullanıcı davranışları gibi göründü.
Bu noktada dikkat çeken unsur şuydu:
Erişim sağlandıktan sonra saldırganlar şu araçları kullandı:
Tüm bu araçlar normalde sistem yöneticilerinin her gün kullandığı bileşenlerdi. Bu nedenle EDR ve antivirüs çözümleri saldırıyı “tehdit” olarak işaretlemedi.
Buradaki kritik nokta şuydu:
Saldırganlar sistemde kalıcı olmak için:
Bunun yerine:
Bu sayede saldırgan, sistemde aylar boyunca fark edilmeden kalabildi.
CISA raporunda altı çizilen en önemli konu şuydu:
EDR ve SOC ekipleri:
Sonuç olarak saldırı, tesadüfi bir anomali incelemesi sırasında ortaya çıktı.
Artık tehditler dosya şeklinde gelmiyor, davranış şeklinde geliyor.
Saldırı değil, kalıcılık asıl riski oluşturuyor.
PowerShell, Scheduled Task, Registry gibi araçlar en büyük silaha dönüştü.
Ne çalıştı değil, neden çalıştı ve neyi tetikledi sorusu sorulmalı.
Bu olay şunu çok net gösteriyor:
Living-off-the-Land ve post-exploit persistence teknikleri, yalnızca red team’lerin değil, her kurumun birincil tehdit modeli olmak zorunda.
Çünkü saldırganlar artık sisteme girmeye değil,
sistemin bir parçası gibi görünmeye çalışıyor.
Bu analiz, CISA tarafından yayımlanan gerçek bir Incident Response raporundan derlenmiştir.
Bu yazı: spyhackerz.org için yazılmıştır, kaynak belirtmeden lütfen farklı yerlerde paylaşmayın.
Bu olay, özellikle Living-off-the-Land (LotL) ve post-exploit persistence tekniklerinin neden 2026 itibarıyla en kritik tehdit başlıkları arasında yer aldığını net biçimde ortaya koyuyor.
Saldırı Nasıl Başladı?
(Initial Access)
Saldırganlar sisteme doğrudan bir zararlı yazılım yüklemek yerine, mevcut kullanıcı hesapları ve meşru sistem servisleri üzerinden erişim sağladı. İlk aşamada kullanılan yöntemler klasik bir “hack” izlenimi yaratmadı; aksine, dışarıdan bakıldığında normal kullanıcı davranışları gibi göründü.
Bu noktada dikkat çeken unsur şuydu:
Asıl Tehlike: Sistemin Kendi Araçları Silaha Dönüştürüldü
(Living-off-the-Land)
Erişim sağlandıktan sonra saldırganlar şu araçları kullandı:
- Yerleşik PowerShell komutları
- Windows Scheduled Tasks
- Registry Run Keys
- Meşru sistem servisleri
Tüm bu araçlar normalde sistem yöneticilerinin her gün kullandığı bileşenlerdi. Bu nedenle EDR ve antivirüs çözümleri saldırıyı “tehdit” olarak işaretlemedi.
Buradaki kritik nokta şuydu:
Kalıcılık (Persistence): Dosya Yok, Alarm Yok
(Post-Exploit Persistence)
Saldırganlar sistemde kalıcı olmak için:
- Yeni servisler eklemedi
- Şüpheli binary’ler bırakmadı
- Standart dışı network trafiği oluşturmadı
Bunun yerine:
- Zamanlanmış görevler ile arka planda komut çalıştırdı
- Registry üzerinden kullanıcı oturumlarına entegre oldu
- Yetkili ama “olağan” görünen hesapları kullandı
Bu sayede saldırgan, sistemde aylar boyunca fark edilmeden kalabildi.
Savunma Neden Başarısız Oldu?
CISA raporunda altı çizilen en önemli konu şuydu:
EDR ve SOC ekipleri:
- İmza tabanlı alarmlara güvendi
- “Bu işlem zaten sistem aracı” diyerek davranışları göz ardı etti
- Kullanıcı aktiviteleri ile saldırgan aktivitelerini ayırt edemedi
Sonuç olarak saldırı, tesadüfi bir anomali incelemesi sırasında ortaya çıktı.
Bu Olaydan Çıkarılması Gereken Dersler
🔴 1. Zararlı Yazılım Devri Kapandı
Artık tehditler dosya şeklinde gelmiyor, davranış şeklinde geliyor.
🔴 2. Persistence En Tehlikeli Aşama
Saldırı değil, kalıcılık asıl riski oluşturuyor.
🔴 3. “Normal Görünen” Her Şey Masum Değil
PowerShell, Scheduled Task, Registry gibi araçlar en büyük silaha dönüştü.
🔴 4. Detection Davranış Bazlı Olmalı
Ne çalıştı değil, neden çalıştı ve neyi tetikledi sorusu sorulmalı.
2026 İçin Net Gerçek
Bu olay şunu çok net gösteriyor:
Living-off-the-Land ve post-exploit persistence teknikleri, yalnızca red team’lerin değil, her kurumun birincil tehdit modeli olmak zorunda.
Çünkü saldırganlar artık sisteme girmeye değil,
sistemin bir parçası gibi görünmeye çalışıyor.
Kaynak
Bu analiz, CISA tarafından yayımlanan gerçek bir Incident Response raporundan derlenmiştir.
Bu yazı: spyhackerz.org için yazılmıştır, kaynak belirtmeden lütfen farklı yerlerde paylaşmayın.
