Sahte CAPTCHA doğrulamalarıyla kullanıcıları yüksek maliyetli SMS tuzaklarına çeken küresel bir dolandırıcılık ağı, Keitaro TDS altyapısıyla deşifre edildi.

Neler Oluyor?

Siber güvenlik dünyası, en temel savunma mekanizmalarının bizzat saldırı aracına dönüştüğü paradoksal bir krizle çalkalanıyor. SiberOdak İstihbarat Birimi'nin radarındaki son bulgular, Microsoft Defender'ın kendi iç bileşenlerini manipüle ederek koruma kalkanlarını "içeriden" devre dışı bırakan RedSun ve UnDefend operasyonlarını deşifre etti.

Bu operasyon, klasik zararlı yazılımların aksine herhangi bir "yasaklı kod" çalıştırmıyor; bunun yerine sistemin bizzat güvendiği yapı taşlarını birer yönlendirme silahına dönüştürüyor.

RedSun Operasyonu: Adım Adım Kernel Manipülasyonu

Saldırganlar, BYOVD (Bring Your Own Vulnerable Driver) tekniğini yeni bir seviyeye taşıyarak, Microsoft tarafından imzalanmış meşru ancak zafiyet barındıran sürücüleri sisteme enjekte ediyor. İşte saldırının teknik anatomisi:

  • Güven Zinciri İhlali: Saldırgan, Windows'un beyaz listesinde bulunan eski bir sürücüyü yükleyerek çekirdek (Kernel) seviyesinde işlem yapma yetkisi kazanır.
  • PPL (Protected Process Light) Bypass: Microsoft Defender'ın kendisini koruyan özel bellek bölgesi, bu sürücü üzerinden manipüle edilerek Defender'ın tarama motoru (MsMpEng.exe) işlevsiz hale getirilir.
  • Bellek Körlüğü: Defender'ın hafıza adresleri "Sadece Okunur" moduna çekilir. Bu durum, Defender'ın sistemde olup biten hiçbir şeyi "görememesi" ancak raporlarda "aktif" görünmesiyle sonuçlanır.
Görünmezlik Paradoksu: RedSun'ın en tehlikeli yanı, antivirüs motorunun sistem tepsisinde hala yeşil tikle "Sisteminiz Korunuyor" uyarısı vermeye devam etmesidir. Ancak arka planda tüm kapılar saldırganlara sonuna kadar açılmıştır.

UnDefend: Koruyucuyu Durduran Mantık Hatası

Haberin en çarpıcı kısımlarından biri de UnDefend adı verilen mantık hatası kullanımı. Araştırmaya göre bu yöntem, herhangi bir yönetici yetkisi gerektirmeden Defender'ın gerçek zamanlı koruma ayarlarını bellek üzerinde geçici olarak askıya alabiliyor.

Teknik Bulgular ve İstihbarat:

  • Dosyasız (Fileless) İcra: Bellek manipülasyonu bittikten sonra saldırı izleri kendiliğinden silinir, geleneksel disk taramaları bir kanıt bulamaz.
  • EDR Yanıltma: Kurumsal savunma sistemleri (EDR), meşru bir Microsoft sürücüsünün yaptığı işlemleri "olağan sistem aktivitesi" olarak sınıflandırdığı için alarm üretmez.
  • Kalıcı Erişim: Saldırganlar bir kez Defender'ı kör ettikten sonra, sistemdeki diğer güvenlik katmanlarını (LSA, Registry Korumaları) tek tek sessizce indirir.

Ekstra Araştırma Bulguları: Küresel Tehdit Dalgaları

SiberOdak teknik analizlerine göre, bu yöntem son 3 ay içerisinde özellikle enerji ve finans sektörünü hedef alan gelişmiş tehdit aktörleri (APT) tarafından test edilmeye başlandı. Türkiye, Avrupa ve Orta Doğu'daki kritik altyapıların bu "içeriden kör etme" tekniğine karşı savunmasız olduğu öngörülüyor.

Operatörler ve sistem yöneticileri, Defender'ın aktif görünmesine rağmen EDR loglarındaki sessizliği (logging silence) bir tehlike işareti olarak okumalıdır.

SiberOdak Analizi
"En büyük açık, en çok güvendiğiniz aracın manipüle edildiği andır."

RedSun vakası, modern siber güvenliğin sadece "imza tabanlı" değil, "davranışsal ve bütünsel" (Holistic) bir yapıya geçmesi gerektiğini kanıtlıyor. Microsoft'un sunduğu 'Vulnerable Driver Blocklist' politikası artık opsiyonel değil, hayati bir zorunluluktur. SiberOdak olarak öngörümüz; 2026 yılının, güvenlik yazılımlarının kendi iç zafiyetlerinin en büyük saldırı vektörü haline geleceği bir yıl olacağı yönündedir.

Teknik derinlik ve siber istihbarat için SiberOdak'ı takipte kalın.