Tehdit kategorisi MD

Zararlı Yazılım Barındıran / Yayan Alan Adı Tehditleri

Malware dağıtım kategorisi; çalıştırılabilir kötü amaçlı yazılım, dropper, loader veya ikinci aşama yükün barındırıldığı kaynakları temsil eder. Saldırı zincirinde genellikle phishing veya exploit kit ile birlikte gözlenir; sosyal mühendislik sayfası önce loader (örn. SocGholish, GootLoader) indirir, ardından stage-2 yük (Cobalt Strike, IcedID) çekilir. Uç nokta seviyesinde indirme bloklama ile birlikte ağ kenarında da engellenmesi tavsiye edilir. EDR telemetrisinde bu adrese yapılan herhangi bir çıkış bağlantısı, potansiyel uzlaşma göstergesi olarak değerlendirilmelidir.

Toplam kayıt
65.569
Kritik (1–3)
4.192
Yüksek (4–5)
850
Filtre sonucu
65.569

Zararlı Yazılım Barındıran / Yayan Alan Adı nedir, nasıl tespit edilir?

Malware dağıtım kategorisindeki kayıtlar, çalıştırılabilir kötü amaçlı yazılım, dropper, loader veya ikinci aşama yükün barındırıldığı kaynakları temsil eder. Saldırı zincirinde genellikle phishing veya exploit kit ile birlikte gözlenir; sosyal mühendislik sayfası önce loader (örn. SocGholish, GootLoader, BumbleBee) indirir, ardından stage-2 yük (Cobalt Strike, IcedID, QakBot) çekilir.

Tespit; web proxy log'larında bu URL'e yönelik PE/DLL/ZIP/MSI uzantılı dosya indirme istekleri, EDR'de yeni başlatılan süreçlerin parent-child zinciri (Word → PowerShell → DLL inject gibi), e-posta gateway'de eklenti olarak gelen ZIP/ISO/IMG container'lar üzerinden gerçekleşir. Sandbox detonation (Joe Sandbox, ANY.RUN, CAPEv2) ile indirilen yükün gerçek davranışı izole ortamda gözlemlenmelidir.

Savunma odağı uç noktada EDR davranış kuralları (LOLBin abuse, suspicious child process), ağ kenarında DNS/proxy sinkhole ve e-posta gateway'inde container açma + içerik analizi olmalıdır. Application allow-listing (örn. Windows Defender Application Control) bu kategorideki tehditlere karşı en güçlü kontroldür. EDR telemetrisinde bu adrese yapılan herhangi bir çıkış bağlantısı, potansiyel uzlaşma göstergesi olarak değerlendirilmeli ve 30-90 günlük geriye dönük log korelasyonu yapılmalıdır.

Tip dağılımı

Bu kategorideki IoC kayıtlarının gösterge tipine göre dağılımı — tıklayarak filtreleyin.

Domain · %98.4 64.508 URL · %0.9 592 IPv4 · %0.7 469

Kritiklik dağılımı

Toplam 65.569 Zararlı Yazılım Barındıran / Yayan Alan Adı göstergesinin operasyonel risk bandlarına dağılımı.

Önerilen Aksiyonlar

Zararlı Yazılım Barındıran / Yayan Alan Adı kategorisinde bir tehdit göstergesi tespit edildiğinde, aşağıdaki kurumsal müdahale adımları takip edilmelidir.

  • 1 Bu göstergeyi mevcut güvenlik duvarı ve web proxy engelleme listelerine günlük senkronizasyonla ekleyin.
  • 2 SIEM platformunda eşleştirme kuralı oluşturun; son 30 günlük log verisinde geriye dönük arama yapın.
  • 3 Sınır yönlendiricilerinde bu IP/aralık için inbound ve outbound ACL kuralı tanımlayın; NetFlow telemetrisini etkinleştirin.
  • 4 NDR/NTA çözümünüzde bu IP'ye yönelik bağlantı denemelerini yüksek-öncelikli alarm olarak işaretleyin.
  • 5 Tüm uç noktalarda EDR tam taraması (full scan) başlatın; bu IoC ile temas eden cihazları geçici karantinaya alın.
  • 6 Backup bütünlüğünü doğrulayın ve fidye yazılımı kurtarma prosedürlerinizi gözden geçirin.
  • 7 Bu göstergeyi kurumsal tehdit istihbarat platformuna (TIP) kaynak atfı ile birlikte kaydedin; resmi kaynak: siberguvenlik.gov.tr · USOM. Orijinal kayıt: —

Filtre Matrisi

65.569 Zararlı Yazılım Barındıran / Yayan Alan Adı göstergesi bulundu
● Yerel arşiv (indexli)