İçereği Atla

Ransomware Öncesi Log Davranışları

Günümüzde dijitalleşmenin artmasıyla birlikte siber saldırılar hem sayıca hem de etki alanı bakımından ciddi bir tehdit hâline gelmiştir. Bu tehditler arasında yer alan ransomware (fidye yazılımı) saldırıları, kurumların operasyonel sürekliliğini sekteye uğratmakta, veri kayıplarına ve ciddi maddi zararlara yol açmaktadır. Ransomware saldırıları genellikle sistemlere sızdıktan sonra hızlı bir şekilde ilerleyerek dosyaları şifreler ve erişilemez hâle getirir.
12 Temmuz 2026 yazan
Ransomware Öncesi Log Davranışları
Mehrinaz BOZ
 

Ransomware Kavramı ve Tehdit Modeli

Ransomware Kavramı

Ransomware (fidye yazılımı), bulaştığı sistemlerdeki dosyaları şifreleyerek veya sistem erişimini engelleyerek kullanıcıdan fidye talep eden bir tür kötü amaçlı yazılımdır. Fidye ödenmediği durumlarda verilerin silinmesi veya ifşa edilmesi tehdidi söz konusudur.

Geleneksel ransomware saldırıları bireysel ve kurumsal kullanıcıları hedef alırken, son yıllarda insan tarafından kontrol edilen ve hizmet olarak sunulan ransomware türleri daha büyük tehdit oluşturmuştur. Bu saldırılar genellikle e-posta ekleri, zararlı bağlantılar ve sahte yazılım güncellemeleri yoluyla yayılır.

Ransomware saldırıları ciddi veri kaybına ve maddi zarara yol açabilir. Ayrıca fidye ödemek her zaman verilerin geri kazanılmasını garanti etmemektedir.

Ransomware tehdit modeli ise;

genellikle çok aşamalı bir yapıdan oluşur. Saldırganlar ilk aşamada phishing e-postaları, zafiyetli servisler veya kötü amaçlı yazılımlar aracılığıyla sisteme erişim sağlar. Ardından yetki yükseltme, ağ içinde yatay hareket (lateral movement) ve keşif faaliyetleri gerçekleştirilir. Bu aşamalarda sistem ve ağ loglarında olağandışı davranışlar oluşmaya başlar. Son aşamada ise saldırganlar şifreleme işlemini başlatarak fidye talebinde bulunur.

Bu tehdit modeli incelendiğinde, ransomware saldırılarının ani gerçekleşmediği, aksine saldırıdan önce log kayıtlarında izlenebilir birçok hazırlık faaliyeti barındırdığı görülmektedir. Bu nedenle saldırı öncesi log davranışlarının analiz edilmesi, ransomware tehditlerine karşı erken uyarı ve proaktif savunma mekanizmalarının geliştirilmesi açısından kritik öneme sahiptir.

Log Türleri ve Sınıflandırılması

Loglar, sistemler, uygulamalar ve ağ cihazları tarafından üretilen, gerçekleşen olaylara ait kayıtları içeren veri kaynaklarıdır. Siber güvenlik açısından loglar; olayların izlenmesi, anomali tespiti ve saldırıların analiz edilmesi için kritik öneme sahiptir.

Loglar genel olarak sistem logları, uygulama logları, ağ logları ve güvenlik logları olarak sınıflandırılabilir. Sistem logları işletim sistemi üzerinde gerçekleşen oturum açma, servis başlatma ve dosya erişimlerini kaydederken; uygulama logları yazılımların çalışma durumları ve hatalarına ilişkin bilgiler sunar. Ağ logları, cihazlar arasındaki bağlantılar ve veri trafiğini izlemeye olanak tanırken; güvenlik logları ise firewall, IDS/IPS ve antivirüs gibi güvenlik bileşenlerinden elde edilen kayıtları kapsar.


Ransomware Öncesi Log Davranışları

  • Ransomware saldırılarından önce sistemlerde genellikle bir hazırlık (dwell time) süreci gözlemlenir
  • Bu süreçte saldırganlar sistem, ağ ve güvenlik loglarında belirgin izler bırakır
Keşif ve Erişim
  • Olağandışı oturum açma ve başarısız giriş denemeleri
  • Mesai dışı VPN/RDP bağlantıları
  • Ağ taramaları ve yetki sorgulamaları
Yetki ve Yanal Hareket
  • Yönetici hakları elde etme girişimleri
  • Yanal RDP bağlantıları ve uzak komut çalıştırma 
Savunma Devre Dışı Bırakma
  • Log temizleme ve denetim değişiklikleri
  • Antivirüs/EDR kapatma
  • Gölge kopya silme
Veri Sızdırma
  • Büyük veri transferleri ve şüpheli IP bağlantıları
  • Dosya arşivleme/sıkıştırma
  • DNS/HTTP trafiğinde artış
Genel Anomali
  • Kritik dizinlerde dosya değişiklikleri
  • Çoklu sisteme eşzamanlı erişim

Ağ Trafiği Ve Bağlantı Logları

Ağ Trafiği (Network Traffic)

Bir ağ üzerinden gidip gelen tüm veri akışıdır.

  • Kaynak / Hedef IP
  • Port numaraları
  • Protokol (TCP, UDP, ICMP, HTTP, HTTPS vb.)
  • Paket boyutu ve sayısı
  • Zamanlama / bant genişliği kullanımı

Ne işe yarar?

  • Ağ performansını ölçmek
  • Darboğazları tespit etmek
  • Şüpheli veya anormal davranışları görmek (DDoS, veri sızıntısı vb.)

Bağlantı Logları (Connection Logs)

Ağdaki kim, ne zaman, kiminle, ne kadar süre iletişim kurdu sorularının kaydıdır.

İçerik değil, bağlantı meta verisi tutulur.

Genelde şunları içerir:

  • Kaynak IP – Hedef IP
  • Kaynak port – Hedef port
  • Protokol
  • Başlangıç / bitiş zamanı
  • Aktarılan veri miktarı
  • Bağlantı durumu (izin verildi, engellendi, zaman aşımı vb.)

Nerelerde tutulur?

  • Firewall logları
  • Router / switch logları
  • VPN logları
  • Proxy ve IDS/IPS logları
  • Sunucu (web, mail, DB) erişim logları

Ne işe yarar?

  • Olay inceleme (incident response)
  • Yetkisiz erişim tespiti
  • Hukuki ve denetim amaçları
  • Kullanıcı / sistem davranışı analizi


SONUÇ;

Ransomware saldırılarının yapısı, yaşam döngüsü ve log analiz yöntemleri incelenmiştir. Erken tespit için anomali ve davranış analizlerinin önemi vurgulanmış, SIEM ve log korelasyonu gibi araçların etkin kullanımı ele alınmıştır. Ransomware tehditlerine karşı güçlü savunma mekanizmaları geliştirmek için log analizinin kritik olduğu sonucuna varılmıştır.


Ransomware Öncesi Log Davranışları
Mehrinaz BOZ 12 Temmuz 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment