Zararlı Yazılım Barındıran / Yayan Alan Adı Tehditleri
Malware dağıtım kategorisi; çalıştırılabilir kötü amaçlı yazılım, dropper, loader veya ikinci aşama yükün barındırıldığı kaynakları temsil eder. Saldırı zincirinde genellikle phishing veya exploit kit ile birlikte gözlenir; sosyal mühendislik sayfası önce loader (örn. SocGholish, GootLoader) indirir, ardından stage-2 yük (Cobalt Strike, IcedID) çekilir. Uç nokta seviyesinde indirme bloklama ile birlikte ağ kenarında da engellenmesi tavsiye edilir. EDR telemetrisinde bu adrese yapılan herhangi bir çıkış bağlantısı, potansiyel uzlaşma göstergesi olarak değerlendirilmelidir.
- Toplam kayıt
- 65.942
- Kritik (1–3)
- 4.199
- Yüksek (4–5)
- 863
- Filtre sonucu
- 620
Zararlı Yazılım Barındıran / Yayan Alan Adı nedir, nasıl tespit edilir?
Malware dağıtım kategorisindeki kayıtlar, çalıştırılabilir kötü amaçlı yazılım, dropper, loader veya ikinci aşama yükün barındırıldığı kaynakları temsil eder. Saldırı zincirinde genellikle phishing veya exploit kit ile birlikte gözlenir; sosyal mühendislik sayfası önce loader (örn. SocGholish, GootLoader, BumbleBee) indirir, ardından stage-2 yük (Cobalt Strike, IcedID, QakBot) çekilir.
Tespit; web proxy log'larında bu URL'e yönelik PE/DLL/ZIP/MSI uzantılı dosya indirme istekleri, EDR'de yeni başlatılan süreçlerin parent-child zinciri (Word → PowerShell → DLL inject gibi), e-posta gateway'de eklenti olarak gelen ZIP/ISO/IMG container'lar üzerinden gerçekleşir. Sandbox detonation (Joe Sandbox, ANY.RUN, CAPEv2) ile indirilen yükün gerçek davranışı izole ortamda gözlemlenmelidir.
Savunma odağı uç noktada EDR davranış kuralları (LOLBin abuse, suspicious child process), ağ kenarında DNS/proxy sinkhole ve e-posta gateway'inde container açma + içerik analizi olmalıdır. Application allow-listing (örn. Windows Defender Application Control) bu kategorideki tehditlere karşı en güçlü kontroldür. EDR telemetrisinde bu adrese yapılan herhangi bir çıkış bağlantısı, potansiyel uzlaşma göstergesi olarak değerlendirilmeli ve 30-90 günlük geriye dönük log korelasyonu yapılmalıdır.
Tip dağılımı
Bu kategorideki IoC kayıtlarının gösterge tipine göre dağılımı — tıklayarak filtreleyin.
Kritiklik dağılımı
Toplam 65.942 Zararlı Yazılım Barındıran / Yayan Alan Adı göstergesinin operasyonel risk bandlarına dağılımı.
Önerilen Aksiyonlar
Zararlı Yazılım Barındıran / Yayan Alan Adı kategorisinde bir tehdit göstergesi tespit edildiğinde, aşağıdaki kurumsal müdahale adımları takip edilmelidir.
- 1 Bu göstergeyi mevcut güvenlik duvarı ve web proxy engelleme listelerine günlük senkronizasyonla ekleyin.
- 2 SIEM platformunda eşleştirme kuralı oluşturun; son 30 günlük log verisinde geriye dönük arama yapın.
- 3 Sınır yönlendiricilerinde bu IP/aralık için inbound ve outbound ACL kuralı tanımlayın; NetFlow telemetrisini etkinleştirin.
- 4 NDR/NTA çözümünüzde bu IP'ye yönelik bağlantı denemelerini yüksek-öncelikli alarm olarak işaretleyin.
- 5 Tüm uç noktalarda EDR tam taraması (full scan) başlatın; bu IoC ile temas eden cihazları geçici karantinaya alın.
- 6 Backup bütünlüğünü doğrulayın ve fidye yazılımı kurtarma prosedürlerinizi gözden geçirin.
- 7 Bu göstergeyi kurumsal tehdit istihbarat platformuna (TIP) kaynak atfı ile birlikte kaydedin; resmi kaynak: siberguvenlik.gov.tr · USOM. Orijinal kayıt: —
Filtre Matrisi
-
1 Kritik
163.172.25.118 -
8 Düşük
photo-5342054.cfd -
8 Düşük
photoguestbook.pro -
8 Düşük
photo-12425.xyz -
8 Düşük
photo-1613954.cfd -
8 Düşük
photbookguest.pro -
8 Düşük
photo-2631254.cfd -
8 Düşük
photo-41473.xyz -
8 Düşük
photo-1633254.cfd -
8 Düşük
photo-432454.cfd<90g -
8 Düşük
photoforbook.pro -
8 Düşük
photo-1642054.cfd -
8 Düşük
bsaakdk293sgh.com -
8 Düşük
photo-12454.cfd -
8 Düşük
photo-332454.cfd -
8 Düşük
photo-26554.cfd -
8 Düşük
photo-5242054.cfd -
8 Düşük
bookedadmpanel.pro -
8 Düşük
hafksoawi925ds.com -
8 Düşük
admbooked.pro -
8 Düşük
bokphotofromguest.pro -
8 Düşük
zebregts.com -
8 Düşük
devops-offensive.cc -
8 Düşük
0xvona.duckdns.org -
8 Düşük
babybon.cfd