Çözümlere Git
Kullanım Senaryosu

Ransomware Erken Uyarı

Fidye yazılımı saldırısını şifreleme başlamadan tespit edin ve kritik verilerinizi koruyun.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Fidye yazılımları dosyaları şifrelemeden önce keşif (reconnaissance), yanal hareket (lateral movement) ve yetki yükseltme (privilege escalation) aşamalarından geçer. ACKLOG, bu ön aşamalardaki anormal davranışları tespit ederek fidye yazılımını şifreleme başlamadan durdurmanıza olanak tanır.

TEKNİK ÖZET & KRİTERLER
Toplu dosya uzantısı değişikliği tespiti (dosya şifreleme göstergesi).
Shadow copy silme komutlarının (vssadmin delete shadows) izlenmesi.
Anormal ağ taraması (SMB port scan) ve yanal hareket tespiti.
Bilinen ransomware IOC'leri (hash, domain, IP) ile tehdit istihbaratı eşleştirmesi.

Fidye Yazılımı Saldırı Zinciri

Modern fidye yazılımı saldırıları, dosyaları şifrelemeye başlamadan önce uzun bir hazırlık süreci geçirir. Bu süreçte saldırgan: sisteme ilk erişimi sağlar (phishing, RDP brute force), ağda keşif yapar, yetki yükseltir, yanal hareketle yayılır ve son olarak şifreleme başlatır. ACKLOG, bu zincirin her halkasını tespit eder.

Erken Uyarı Göstergeleri

Shadow Copy Silme: Saldırganlar, yedeklerden geri dönüşü engellemek için ilk olarak VSS (Volume Shadow Copy) yedeklerini siler. "vssadmin delete shadows /all /quiet" komutu çalıştırıldığında ACKLOG kritik alarm üretir.

Toplu Dosya Değişikliği: Kısa sürede yüzlerce dosyanın uzantısının değişmesi (.locked, .encrypted vb.) şifreleme başladığına işaret eder.

ACKLOG Ransomware Korelasyonu

ACKLOG şu olayların kombinasyonunu izler: Şüpheli RDP girişi (dış IP) → Recon komutu (nltest, net group) → Shadow copy silme → Toplu dosya erişimi. Bu zincirdeki herhangi iki olay birlikte gerçekleştiğinde ransomware ön uyarısı üretilir.

DEĞERLENDİRME & SONUÇ

ACKLOG, fidye yazılımı saldırı zincirinin her aşamasını izleyerek şifreleme başlamadan müdahale etmenizi sağlar. Yerleşik ransomware korelasyon kuralları, MITRE ATT&CK ile eşleştirilmiş şekilde çalışır.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

ACKLOG'un SOAR entegrasyonu, alarm üretildiğinde etkilenen makineyi ağdan otomatik izole edebilir. Ancak asıl hedef, şifreleme başlamadan önce ön aşamalardaki göstergeleri yakalamaktır.