1. Güvenlik Aracı Araştırması
Velociraptor (Gelişmiş DFIR & Threat Hunting) Velociraptor, siber güvenlik dünyasında “Dijital Adli Bilişim” (Digital Forensics) ve “Olay Müdahale” (Incident Response) süreçlerini otomatize eden, Google mühendisleri tarafından geliştirilmiş açık kaynaklı (Open Source) ve çok güçlü bir platformdur.
Klasik EDR ürünleri genellikle “bir şeyi engellemeye” odaklanırken, Velociraptor “bir şey olduktan sonra gerçeği bulmaya” odaklanır. “Cerrahi Hassasiyetle” veri toplama yeteneği sayesinde, analistlerin binlerce bilgisayardan aynı anda kanıt toplamasını sağlar.
1.1 Teknik Mimari
Velociraptor, klasik istemci-sunucu (Client-Server) mimarisini kullanır ancak “VQL” adı verilen özel bir sorgu diliyle çalışır:
- Velociraptor Client (Ajan): Uç noktalarda (Windows, Linux, Mac) çalışan çok hafif bir servistir. Sürekli log göndermek yerine, sadece sunucudan “sorgu” geldiğinde çalışır ve cevabı döndürür.
- VQL Engine (Velociraptor Query Language): Sistemin kalbidir. SQL benzeri bu dil sayesinde analist, binlerce bilgisayara aynı anda “Son 1 saatte svchost.exe tarafından oluşturulan tüm ağ bağlantılarını getir” gibi canlı sorular sorabilir.
- Artifact Store (Kanıt Deposu): Önceden yazılmış yüzlerce hazır sorgu (Artifact) kütüphanesidir. Analist sıfırdan kod yazmak zorunda kalmaz.
| Özellik | Teknik Fayda | Operasyonel Fayda |
|---|---|---|
|
Canlı Tehdit Avcılığı (Live Hunting) |
VQL kullanarak tüm ağdaki cihazlarda anlık sorgu çalıştırır.
|
“Şu anda hangi bilgisayarda ‘mimikatz.exe’ çalışıyor?” sorusunun cevabını 30 saniye içinde tüm şirketten toplar. |
|
Offline Collection (Çevrimdışı Toplama) |
Ajanı USB ile bir bilgisayara takıp, internet olmadan da kanıt (RAM, MFT, Event Logs) toplayabilir.
|
Ağa bağlı olmayan veya izole edilmiş (Air-gapped) kritik sistemlerden adli kanıt toplamak için hayati önem taşır. |
|
VFS (Virtual File System)
|
Uç noktanın disk yapısını, sunucu üzerinden “Windows
Explorer” gibi gezmenizi sağlar. |
Analist, kullanıcının bilgisayarına uzaktan bağlanmadan (RDP yapmadan) şüpheli dosyayı sunucuya kopyalayıp analiz edebilir. |
|
Process Memory Analysis |
Çalışan süreçlerin RAM’deki izlerini tarar (YARA taraması).
|
Diske hiç yazılmadan sadece hafızada çalışan (Fileless) gelişmiş zararlı yazılımları yakalar. |
1.3 Kullanım Alanları (Nerelerde ve Neden Kullanılır?)
Velociraptor, özellikle bir siber olay şüphesi olduğunda “Derinlemesine Analiz” için
kullanılır.
A. Büyük Çaplı Olay Müdahalesi (Mass Incident Response)
- Senaryo: Şirketteki 500 bilgisayardan hangilerinin “CVE-2025-52691” zafiyetine sahip olduğunu bulmanız gerekiyor. Tek tek bakmak yerine, Velociraptor ile tek bir sorgu göndererek sürüm bilgisi 5 dakikada raporlanır.
B. Zararlı Yazılım Analizi (Forensic Triage)
Senaryo: Bir bilgisayarın hacklendiğinden şüpheleniliyor. Analist, Velociraptor kullanarak o bilgisayarın “Prefetch” dosyalarını, “MFT” kayıtlarını ve “Web Tarayıcı Geçmişini” tek tıkla çeker ve saldırganın ne zaman, hangi dosyayı indirdiğini zaman çizelgesi (Timeline) olarak çıkarır.
2. Kritik Zafiyet Araştırması
Bu bölüm, modern web uygulamalarının temelini oluşturan React Server Components (RSC) mimarisinde keşfedilen ve CVSS 10.0 (Kritik) puanı alan tarihi bir güvenlik açığını incelemektedir.
2.1 Zafiyetin Tanımı: CVE-2025-55182
Bu açık, React’in sunucu ile istemci arasındaki veri transferini sağlayan “Flight” protokolündeki bir Güvensiz Deserialization (Güvensiz Veri Çözümleme) hatasıdır.
Saldırı Vektörü: Saldırgan, sunucuya özel olarak hazırlanmış (serialized) bir HTTP isteği gönderir. Bu istek, React sunucu bileşenleri tarafından işlenirken, içindeki zararlı kod parçası “veri” yerine “komut” olarak yorumlanır.
Etkilenen Sistemler: Standart create-next-app ile oluşturulmuş Next.js (v15.x/16.x) uygulamaları ve React 19 tabanlı sistemler.
2.2 Saldırı Senaryosu
- Keşif: Saldırgan, hedef web sitesinin _next/static/ yolunu analiz ederek Next.js sürümünü tespit eder.
- Payload Gönderimi: Saldırgan, sunucuya içinde child_process.exec(‘whoami’) gibi sistem komutlarını tetikleyecek, özel kodlanmış bir veri paketi yollar.
- Tetiklenme: Sunucu, gelen veriyi işlemek isterken, güvenlik kontrolünün eksikliği nedeniyle içindeki komutu kendi yetkisiyle çalıştırır.
- Sonuç: Sunucu tamamen ele geçirilir. Saldırganlar genellikle bu aşamadan sonra sisteme RondoDox botnet ajanını yükler.
| Önlem Kategorisi | Uygulama Adımı | Teknik Mantık ve Amaç |
|---|---|---|
|
Acil Yazılım Güncellemesi |
Next.js altyapısını derhal 15.1.0 sürümüne veya daha üst (Canary) sürümlere yükseltin. |
Bu sürüm, zafiyete neden olan hatayı kaynağında düzeltir ve sunucunun gelen veriyi güvenli bir şekilde işlemesini sağlar. |
|
WAF (Güvenlik Duvarı) Kuralları |
Gelen web isteklerinin içerik (Body) kısmında, “$L” gibi React Flight protokolüne özgü şüpheli karakter dizilerini engelleyin.
|
Saldırganın gönderdiği zararlı komut paketlerinin, sunucuya hiç ulaşmadan ağ girişinde (kapıda) durdurulmasını sağlar. |
3. Tehdit Grubu Analizi: RondoDox Botnet
3.1 Grubun Tanımı ve Stratejik Konumu
RondoDox, sıradan bir siber çete değil, “Kurumsal Altyapı Avcısı” olarak tanımlanabilecek hibrit bir tehdit grubudur. 2026 yılı itibarıyla, ev kullanıcılarının basit modemlerinden ziyade, yüksek işlem gücüne sahip Linux Sunucuları ve Bulut (Cloud) Konteynerlerini hedef almaktadırlar. Amaçları, ele geçirdikleri binlerce güçlü sunucuyu birleştirerek kiralık bir “Siber Silah” (DDoS servisi) oluşturmak ve boşta kalan işlemci güçleriyle kripto para üretmektir.
3.2 2026 Yılbaşı Operasyonu: Neden Başarılı Oldular?
Grup, saldırı zamanlamasını stratejik bir zekayla yönetmiştir.
- Zamanlama: Saldırı, dünya genelinde IT ekiplerinin izinli olduğu, izleme(monitoring) hassasiyetinin düştüğü 1 Ocak gecesi başlatılmıştır.
- Hız: CVE-2025-55182 (React2Shell) zafiyeti yayınlandıktan sadece saatler sonra, bu açığı otomatik olarak tarayan araçlarını devreye almışlardır. Bu durum, grubun çok güçlü bir AR-GE ekibine sahip olduğunu gösterir.
3.3 RondoDox’un İleri Seviye Teknikleri (TTPs)
Bu grup, sistemlerde “Hayalet” gibi davranarak tespit edilmeyi imkansız hale getirmeyi amaçlar. Kod kullanmadan tekniklerini şöyle özetleyebiliriz:
- Rakip Temizliği (Kill-Switch): RondoDox bir sunucuya girdiğinde, ilk iş olarak sistemde başka bir virüs veya botnet ajanı olup olmadığını tarar. Varsa onları siler ve sisteme giriş kapılarını kapatır. Böylece sunucunun tüm kaynakları sadece kendisine kalır ve sistem yöneticisi dışarıdan baktığında “portların kapalı ve güvenli” olduğunu sanabilir.
- Sessiz Madencilik (Stealth Mining): Çoğu virüs işlemciyi %100 kullanarak sistemi kilitler ve kendini belli eder. RondoDox ise işlemciyi sadece %30-40 oranında kullanacak şekilde kendini sınırlar. Bu sayede sunucu yavaşlamaz, ısınmaz ve alarm sistemlerini tetiklemeden aylarca çalışmaya devam eder.
- Sistemde Kalıcılık (Persistence): Sunucu yeniden başlatılsa bile virüsün tekrar çalışması için kendini işletim sisteminin “zamanlanmış görevler” listesine ekler. Ancak bunu yaparken ismini “SystemUpdate” veya “KernelCheck” gibi güvenilir görünen isimlerle gizler, böylece gözle yapılan kontrollerde fark edilmez.
