İçereği Atla

Memory-Based Attacks: Diskte İz Bırakmayan Saldırılar

Geleneksel siber güvenlik yaklaşımları uzun yıllar boyunca disk üzerinde bırakılan izlere odaklandı. Zararlı dosyalar, şüpheli executable’lar ve kalıcı registry kayıtları, tespit mekanizmalarının temelini oluşturdu. Ancak modern tehdit aktörleri bu savunmaları aşmak için saldırı tekniklerini evrimleştirdi. Bu evrimin en tehlikeli sonuçlarından biri Memory-Based Attacks (Bellek Tabanlı Saldırılar) oldu.
4 Haziran 2026 yazan
Memory-Based Attacks: Diskte İz Bırakmayan Saldırılar
Amina KAPTAN
 

Memory-Based Attack Nedir?

Memory-based attack, zararlı kodun:

    1. Diskte kalıcı bir dosya oluşturmadan
    2. İşletim sisteminin RAM belleği üzerinde çalıştırıldığı
    3. Sistem yeniden başlatıldığında çoğu zaman iz bırakmadan kaybolan

saldırı türlerini ifade eder.

Bu saldırılar genellikle:

    1. Mevcut sistem araçlarını kullanır
    2. Meşru süreçler içine enjekte edilir
    3. Klasik antivirüs çözümlerinin imza tabanlı tespitinden kaçar

Neden Diskte İz Bırakmamak Bu Kadar Etkili?

Çoğu güvenlik çözümü hâlâ şu varsayımlara dayanır:

    1. Zararlı = dosya
    2. Dosya = disk
    3. Disk = taranabilir

Memory-based saldırılar bu zinciri tamamen kırar.

Avantajları (Saldırgan Açısından)

    1. Daha az adli iz
    2. Düşük tespit oranı
    3. Hızlı çalıştırma
    4. Olay müdahale ekipleri için zor analiz

Memory-Based Attacks Hangi Saldırıların Parçasıdır?

Bellek tabanlı saldırılar genellikle tek başına değil, daha büyük saldırı zincirlerinin bir parçası olarak kullanılır:

    1. Ransomware öncesi keşif
    2. Advanced Persistent Threat (APT) operasyonları
    3. Kimlik bilgisi toplama
    4. Lateral movement
    5. Yetki yükseltme

Özellikle modern ransomware grupları, ilk aşamada bellek tabanlı teknikleri tercih eder.

En Yaygın Memory-Based Attack Türleri

1. Fileless Malware

Dosya oluşturmadan çalışan zararlı yazılımlar:

    1. Bellekte çalışır
    2. Mevcut sistem araçlarını kullanır
    3. Script tabanlıdır

Çoğu zaman PowerShell, WMI veya benzeri mekanizmalar üzerinden tetiklenir.

2. Process Injection (Süreç Enjeksiyonu)

Zararlı kod, meşru bir uygulamanın belleğine enjekte edilir.

Sonuç:

    1. Zararlı trafik “güvenilir uygulama” gibi görünür
    2. Davranış analizi yapılmadıkça fark edilmez

3. Living off the Land (LotL) Teknikleri

Saldırganlar sisteme yeni araç getirmek yerine:

    1. İşletim sistemiyle gelen araçları
    2. Kurumun kendi yazılımlarını

kullanarak saldırı gerçekleştirir.

Bu da saldırının normal kullanıcı davranışı gibi algılanmasına neden olur.

4. Reflective Code Loading

Kod doğrudan belleğe yüklenir ve çalıştırılır. Diskte hiçbir zaman yer almaz.

Bu teknik:

    1. Klasik malware taramalarını
    2. Hash ve imza kontrollerini

etkisiz hale getirir.

5. Credential Dumping (Bellekten Kimlik Bilgisi Toplama)

Birçok işletim sistemi, kimlik bilgilerini geçici olarak bellekte tutar.

Memory-based saldırılar:

    1. Kullanıcı parolalarını
    2. Hash değerlerini
    3. Token’ları

doğrudan bellekten hedef alır.

Neden Geleneksel Antivirüsler Yetersiz Kalır?

Klasik antivirüs çözümleri genellikle:

    1. Disk taraması yapar
    2. İmza bazlı çalışır
    3. Bilinen zararlılara odaklanır

Memory-based saldırılar ise:

    1. Yeni veya özel teknikler kullanır
    2. Meşru süreçleri istismar eder
    3. Diskte iz bırakmaz

Bu nedenle EDR/XDR olmadan bu saldırıların yakalanması oldukça zordur.

Memory-Based Attacks Nasıl Tespit Edilebilir?

Davranış Analizi Şarttır

Dosya yerine davranış izlenmelidir:

    1. Olağandışı bellek erişimleri
    2. Meşru uygulamaların beklenmedik davranışları
    3. Normal dışı API çağrıları

Log ve Telemetri Önemi

Aşağıdaki veriler kritik önemdedir:

    1. Process creation logları
    2. Parent-child process ilişkileri
    3. Network bağlantı davranışları

Merkezi loglama olmadan bu saldırılar neredeyse görünmezdir.

Kurumlar Kendini Nasıl Koruyabilir?

1. EDR / XDR Kullanımı

Bellek davranışlarını izleyebilen çözümler şarttır.

2. PowerShell ve Script Kontrolleri

    1. Script logging
    2. Kısıtlı execution policy
    3. Yetkisiz script çalıştırmanın engellenmesi

3. Least Privilege Prensibi

Düşük yetkili hesaplar, bellek tabanlı saldırıların etkisini ciddi şekilde sınırlar.

4. Anomali Tabanlı İzleme

İmza değil, alışkanlık dışı davranış izlenmelidir.

5. Olay Müdahale Senaryoları

Memory-based saldırılar için özel IR playbook’ları hazırlanmalıdır.

Olay Müdahale Açısından Zorluklar

Bellek tabanlı saldırılar:

    1. Yeniden başlatma sonrası kaybolabilir
    2. Diskte iz bırakmaz
    3. Adli analiz sürecini zorlaştırır

Bu nedenle canlı sistem analizi (live response) büyük önem taşır.

Sonuç: Görünmeyen Tehdit, Gerçek Risk

Memory-based attacks, modern siber tehditlerin en sessiz ama en etkili türlerinden biridir. Diskte iz bırakmaması, bu saldırıları zararsız yapmaz; aksine daha tehlikeli hale getirir.

Günümüz siber güvenliğinde temel gerçek şudur:

Dosya yoksa tehdit yoktur anlayışı artık geçerli değildir.

Belleği göremeyen güvenlik yaklaşımı, saldırıyı da göremez.

Memory-Based Attacks: Diskte İz Bırakmayan Saldırılar
Amina KAPTAN 4 Haziran 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment