İçereği Atla

Hedef Sistemleri Kandıran Yeni Taktik: Qilin’in Linux Payload + BYOVD Kombosu

Qilin (Agenda) grubu, Windows ortamlarında Linux tabanlı bir payload çalıştırıp BYOVD (Bring-Your-Own-Vulnerable-Driver) tekniğiyle EDR’leri atlatarak daha karmaşık ve tespit edilmesi zor saldırılar gerçekleştiriyor.
27 Ekim 2025 yazan
Hedef Sistemleri Kandıran Yeni Taktik: Qilin’in Linux Payload + BYOVD Kombosu
Codark IT, Nurhayat OKSUZBAKAN
 

Son dönemde Qilin (Agenda) adlı RaaS operatörünün saldırılarında önemli bir eskalasyon gözlemlendi: saldırganlar Windows ağlarında Linux tabanlı bir ransomware bileşeni çalıştırıyor ve BYOVD teknikleriyle güvenlik çözümlerini etkisiz hâle getiriyor. Bu hibrit yaklaşım, özellikle RMM/uzaktan erişim araçları ve yedekleme yazılımlarının istismar edildiği vakalarda tespit ve müdahaleyi zorlaştırıyor.


Bu yazıda, bu saldırının nasıl gerçekleştiğini, hangi tekniklerin kullanıldığını, hedef sistemlerde yaratacağı etkileri ve özellikle Türkiye’de bu tür bir saldırıya karşı neler yapılabileceğini ele alacağız.


Grup Profili: Qilin / Agenda 

Qilin (aynı zamanda “Agenda” ya da “Gold Feather” olarak da biliniyor) 2022 yılında ortaya çıkmış bir Ransomware-as-a-Service (RaaS) grubu olarak tanınıyor.

    1. Başlangıçta Windows ortamlarını hedef almış, Golang ile kodlanmış versiyonlar kullandığı gözlenmiş.
    2. 2024 sonlarında Rust ile yazılmış “Qilin.B” gibi versiyonlar çıkararak çapraz platform desteği kazandı.
    3. 2025 itibarıyla dünya çapında yüzlerce kurumu hedefliyor: özellikle imalat, teknoloji, sağlık ve finans sektörü.
    4. Modeli şu yönde: Kuruluş erişimi sağlanıyor → yedekleme sistemleri ve RMM araçları hedefleniyor → veri sızdırılıyor + şifreleme ile çift şantaj uygulanıyor.

Bu bağlamda, Qilin yalnızca “şifreleme” değil, “çift şantaj + iyice hazırlanmış savunmasız sistemler” üzerinden gidiyor. Türkiye’de operasyonel teknolojiler (OT) ve yedekleme sistemleriyle entegre kurumlar açısından da büyük risk içeriyor.

Saldırı Zinciri ve Teknik Detaylar

  • Başlangıç ve Erişim
    • İlk erişim genellikle geçerli hesap bilgileri (VPN, RDP vs) ile sağlanıyor
    • Ayrıca spear-phishing ve sahte CAPTCHA sayfaları üzerinden bilgi çalma yöntemleri de kullanılmıştır.
    • Bu yollarla iç ağa girildiğinde, saldırganlar uzaktan yönetim ve dosya transfer araçlarını kötüye kullanıyorlar: örneğin AnyDesk, ScreenConnect, WinSCP gibi araçlar kullanılmıştır.
  • BYOVD (Bring Your Own Vulnerable Driver) Kullanımı
    • Bu teknikle saldırganlar, zafiyetli ya da imzalı kötü amaçlı sürücüler yükleyerek, sistemde bulunan EDR/AV çözümlerini devre dışı bırakabiliyorlar.
    • Örneğin “eskle.sys” gibi sürücüler kullanılmıştır.
    • Bu sayede geleneksel Windows odaklı güvenlik kontrolleri aşılabiliyor, olay sessizce ilerleyebiliyor.
  • Linux Payload’un Windows Üzerinde Çalıştırılması
    • Qilin’in 2025 kampanyasında özellikle dikkat çekici bir nokta: Windows sunuculara Linux derlenmiş bir fidye yazılımı gönderiliyor ve çalıştırılıyor.
    • Örneğin WinSCP ile Linux binary dosyası transfer ediliyor, ardından Splashtop Remote üzerinden bu Linux ikili dosyası Windows ortamında çalıştırılıyor.
    • Bu ilklendirilmiş “çapraz platform” yaklaşım, Windows-odaklı güvenlik sistemlerinin dikkatini dağıtıyor.
  • Yedekleme Sistemlerinin Hedeflenmesi
    • Saldırganlar yedekleme yazılımlarını ve veritabanlarını hedef alıyorlar: Özellikle Veeam Backup & Replication altyapısı gibi yedekleme sistemlerinden kimlik bilgileri çalınıyor.
    • Bu sayede işletmenin olay sonrası kurtarma yeteneği büyük ölçüde zayıflatılıyor.
  • Şifreleme & Veri Sızıntısı
    • Veri sızdırma (exfiltration) işlemi gerçekleştikten sonra dosyalar şifreleniyor ve fidye notu bırakılıyor. Qilin, dosya sistemindeki gölge kopyaları (shadow copies) silerek kurtarma şansını azaltıyor.
    • Bazı versiyonlarda AES-256 + RSA ile güçlü şifreleme kullanılıyor.

Hedef Sistemler & Etki Alanı

Saldırının hedefleri ve etkisi şu şekilde özetlenebilir:

    • Coğrafi olarak ABD, Kanada, Birleşik Krallık, Fransa, Almanya gibi gelişmiş pazarlarda yoğun.
    • Sektör olarak özellikle imalat, teknoloji, finansal hizmetler, sağlık alanları.
    • Hibrit altyapıya sahip (Windows + Linux/VM altyapısı) kurumlar büyük risk altında: Linux payload’larının çalıştığı Windows ortamları özellikle savunmasız.
    • Türkiye kapsamında: Eğer bir kuruluş gelişmiş yedekleme altyapısı, RMM araçları ve hem Windows hem Linux sistemleri barındırıyorsa — bu saldırı modeli için potansiyel hedef olabilir.

Etki açısından: İş sürekliliği kesintiye uğrayabilir, yedeklerden kurtarma mümkün olmayabilir, veri sızması kamu imajını zedeleyebilir, finansal kayıplar ve tazminatlar oluşabilir.

Türkiye’ye Özgü Risk Değerlendirmesi

Türkiye’deki kurumlar için özellikle şu riskler ön plana çıkıyor:

    • Yerel kurumların birçoğu yedekleme altyapısını yeterince izlemiyor veya yedekler üzerinde erişim kontrolü etkin değil. Qilin saldırılarında yedek sistemlerin elde edilmesi birincil hedef olarak gözüküyor.,
    • Uzaktan yönetim araçlarının (RMM, AnyDesk/ScreenConnect gibi) kontrolünün zayıf olması: Türkiye’de uzaktan erişim için kullanılan araçların güncellemesi ve izlenmesi tam olmayabilir.
    • Çapraz platform (Windows + Linux) ortamlarının artışı: Özellikle sanallaştırma/hypervisor altyapıları bulunan şirketlerde Linux üzerinde de kritik iş yükleri bulunabiliyor. Qilin’in Linux binary’yi Windows sistemde çalıştırabilmesi bu yönden büyük risk.
    • BYOVD gibi ileri tekniklerin farkında olmayan güvenlik ekipleri: Türkiye’de güvenlik operasyonlarının bazen geleneksel AV/EDR üzerine odaklı olması, bu tarz tekniklerin tespit edilmesinde zayıflık oluşturabilir.
    • Bilgi paylaşımı ve tehdit istihbaratı eksikliği: Saldırı örnekleri uluslararası kaynaklarda yayınlanıyor; Türkçe kaynaklara erişim sınırlı olabilir.

Bu nedenle Türkiye’deki kurumların acil olarak aşağıdaki adımları göz önüne alması yararlı olacaktır:

    • Uzaktan erişim ve yedekleme sistemlerinin ayrı izole segmentlerde olması, erişim kontrollerinin sıklaştırılması.
    • BYOVD ve Linux payload gibi ileri taktiklerin bilinmesi, güvenlik çözümlerinin bu tarz görülmemiş davranışlara karşı güncelliğinin kontrol edilmesi.
    • Yedekleme erişim loglarının düzenli izlenmesi ve “yedekleri hedefleyen” davranışların tespit edilmesi.
    • TAIM (Threat Awareness & Incident Management) süreçlerinin aktif hâle getirilmesi; saldırı sonrası kurtarma senaryolarının test edilmesi.

Savunma ve Önleme Önerileri

  • Öncelikli Teknik Kontroller
    • Çok faktörlü kimlik doğrulama (MFA): Özellikle VPN, RDP erişimleri için zorunlu hale getirilmeli. Geçerli hesaplarla saldırı girişimleri Qilin için bilinen yöntem.
    • Uzaktan yönetim araçlarının kullanımının sınırlandırılması: RMM araçlarının sadece onaylı makinelerde çalıştırılması, erişim yetkilerinin kısıtlanması.
    • Yedekleme sistemlerine erişim ve kimlik bilgileri güvenliği: Yedekleme sunucularına erişim ayrı bir güvenlik katmanı altında olmalı, veritabanları ve kimlik bilgileri şifrelenmeli. Qilin saldırılarında Veeam altyapısı birincil hedef olmuş durumda.
    • Sürücü yükleme kontrolleri & BYOVD savunması: Bilgisayarlarda imzalı olmayan veya şüpheli sürücülerin yüklenmesi engellenmeli; kernel-mod sürücülerin yüklenmesi izlenmeli.
    • Log yönetimi ve gölge kopyaların (shadow copies) korunması: Saldırganlar gölge kopyaları siliyor; bu adıma karşı VSS erişimi kısıtlanmalı.
  • Süreçsel & Organizasyonel Önlemler
    • Saldırı tatbikatları ve olay müdahale planları hazırlanmalı: Hibrit saldırı modelleri (Linux payload + Windows ortam) göz önünde bulundurulmalı.
    • Siber farkındalık eğitimi: Çalışanlara sahte CAPTCHA gibi sosyal mühendislik senaryoları üzerinden eğitimler verilmeli.
    • Saldırı yüzeyi yönetimi (Attack Surface Management): İnternete açık servisler, RDP/VPN portları, uzak yönetim araçları vs düzenli olarak taranmalı.
    • Veri sızma izleme (Data Leak Monitoring): Sızdırılmış kimlik bilgileri ya da kurum verileri darknet/underground forumlarda takip edilmeli; Qilin saldırılarında veri sızdırma korkusu önemli bir araç.
  • Hızlı Müdahale İpuçları
    • Şüpheli bir RMM bağlantısı veya yedek sistemine yapılan anormal erişim tespit edildiğinde hemen izolasyon yapılmalı.
    • Yedekleme verilerinde beklenmedik erişim logları varsa, bu veri sızma ve fidye şantajının bir göstergesi olabilir—yeni olayda hemen güvenlik analizi yapılmalı.
    • Shadow copy’lerin ya da VSS işlevinin beklenmedik şekilde devre dışı kalması durumunda olası fidye yazılımı harekâtı düşünülmeli.
    • Sürücü yükleme logları ve kernel modüllerin değişimi izlenmeli; BYOVD kullanımı belirtisi olabilir.


Hedef Sistemleri Kandıran Yeni Taktik: Qilin’in Linux Payload + BYOVD Kombosu
Codark IT, Nurhayat OKSUZBAKAN 27 Ekim 2025
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment