116.31.116.38 adresi tehlikeli mi?

Evet. "116.31.116.38" kaydı T.C. Siber Güvenlik Başkanlığı (eski USOM) doğrulanmış tehdit beslemesinde "Oltalama" kategorisinde yer almakta ve kritik kritiklik seviyesi (1/10) ile sınıflandırılmıştır. Bu kayıt resmi tehdit istihbaratı olarak yayımlandığı için kurumsal engelleme listelerine alınması ve son kullanıcıların erişiminin engellenmesi tavsiye edilir.

Bu USOM kaydı ne kadar süreyle aktif kalır?

Resmi tehdit kaydı, kaynak kurum tarafından kaldırılana veya temizlendiği doğrulanana kadar aktif kalır. SiberAnaliz veri seti USOM beslemesi ile günde birden fazla kez senkronize edilir; kaldırılan kayıtlar otomatik olarak arşive alınır ve detay sayfaları "tarihsel kayıt" olarak işaretlenir. Kurumsal engelleme politikalarınızda bu kayıt için en az 90 günlük bir gözetim penceresi tutmanız önerilir.

116.31.116.38 adresini kurumsal ortamımda nasıl engellerim?

Engelleme stratejisi gösterge tipine göre değişir. Bu kayıt bir IPv4 adresi olduğundan: (1) sınır güvenlik duvarında çıkış kuralı tanımlayın, (2) DNS RPZ veya secure DNS resolver üzerinde sinkholing uygulayın, (3) secure web gateway / web filtreleme ürünündeki tehdit feed'ine ekleyin, (4) EDR/SIEM platformunda eşleştirme kuralı oluşturarak temas eden uç noktaları izleyin. Detaylı liste için sayfadaki "Önerilen Aksiyonlar" bölümünü inceleyin.

USOM bu kaydı neden yayımladı?

Kayıt, "Oltalama" kategorisinde tehdit göstergesi olarak işaretlenmiştir. T.C. Siber Güvenlik Başkanlığı bu tür kayıtları; ihbar, otomatik tarama, uluslararası CERT iş birliği veya operasyonel istihbarat kaynakları üzerinden doğrulayarak kamu ile paylaşır. Amaç, ulusal siber güvenlik direncini artırmak ve hem kurumların hem de bireysel kullanıcıların proaktif olarak korunmasını sağlamaktır.

Yanlışlıkla bu listede olduğumu düşünüyorum, ne yapabilirim?

SiberAnaliz, USOM veri setinin üzerine analitik içerik üreten bağımsız bir hizmettir; kayıt ekleme/çıkarma yetkimiz yoktur. Kaydınızın yanlış sınıflandırıldığını düşünüyorsanız resmi kaynak olan T.C. Siber Güvenlik Başkanlığı (siberguvenlik.gov.tr) ile iletişime geçerek itiraz/temizlik talebi açmanız gerekir. Resmi kaynaktan kaldırma onaylandıktan sonra SiberAnaliz veri seti sonraki senkronizasyonda otomatik olarak güncellenecektir.

Bu kayıt ilk ne zaman yayımlandı?

Kayıt resmi USOM beslemesinde 2017-04-05 10:55:32 tarihinde yayımlandı. Geriye dönük log korelasyonu çalışmalarınızda bu tarihi başlangıç noktası olarak alabilirsiniz; ancak göstergenin saldırgan tarafından aktif olarak kullanılmaya başlanma tarihi yayım tarihinden önce olabilir, bu nedenle 30–90 gün daha geriye dönük log arama tavsiye edilir.

116.31.116.38 — Tehdit Analizi

Tehdit Özeti

Bu kayıt; T.C. Siber Güvenlik Başkanlığı (eski USOM) doğrulanmış beslemesinden alınan, "116.31.116.38" IPv4 adresi biçimindeki bir tehdit göstergesidir. Kayıt, Oltalama kategorisi altında kritik kritiklik (seviye 1/10) olarak sınıflandırılmıştır. Gösterge "Diğer" bağlantı tipiyle raporlanmıştır; bu sınıflandırma kurumsal güvenlik kontrollerinde engelleme kararı için kullanılmalıdır. Gösterge 2017-04-05 10:55:32 tarihinde yayımlandığından, IPv4 adresinin altyapınızda yer alıp almadığını teyit ederek geriye dönük log korelasyonu çalışmasına bu tarihi başlangıç noktası olarak almanız önerilir.

Teknik Kayıt

IPv4 adresi (örn. 192.0.2.10), bir cihazın internet üzerindeki 32-bit benzersiz tanımlayıcısıdır. Tehdit istihbarat bağlamında bir IPv4 kaydı; ya doğrudan zararlı altyapıyı barındıran sunucuyu ya da uzlaşılmış (compromised) bir aracı düğümü temsil eder. Engelleme kararları genellikle host bazlıdır, ancak shared hosting ortamlarında yan etki riski göz önünde bulundurulmalıdır.

Gösterge: 116.31.116.38
Tip: IPv4
Kategori: Oltalama (PH)
Kaynak: SOME (SO)
Bağlantı Tipi: Diğer (OT)
Kritiklik: 1 / 10 · Kritik
Yayım Tarihi: 2017-04-05 10:55:32
USOM Kayıt ID: 2477
Son Senkron: 2026-05-29 08:11:18

Kategori Bağlamı

Phishing kategorisi; kullanıcıyı taklit edilmiş bir oturum açma sayfasına yönlendirerek kimlik bilgisi (e-posta, kullanıcı adı, parola, MFA token) toplamak amacıyla yayımlanan kayıtları içerir. Saldırgan motivasyonu öncelikle hesap ele geçirme (ATO) ve iç ağa ilk erişim kazanmaktır; toplanan kimlikler kurumsal SSO, e-posta veya VPN portallarında denenir. Bu adresler çoğunlukla bir hosting sağlayıcı üzerinde geçici subdomain veya path-tabanlı sahtekârlık olarak konuşlanır ve marka taklidi ile bütünleşir. SOC ekipleri için bu IoC, kullanıcı tıklama davranışıyla doğrudan ilişkili olduğundan engelleme önceliği yüksektir.

Kritiklik Analizi

Bu kayıt 1–3 aralığında kritik seviyesinde sınıflandırılmıştır. SOC ekibinin acil müdahale önceliği olarak ele alınması, çevre güvenlik duvarı ile DNS çözümleyici katmanında engelleme kurallarının dakikalar içinde devreye alınması gerekir. Etkilenmiş varlık tespiti için 90 günlük geriye dönük log korelasyonu yapılmalı; uzlaşma izi tespit edilmesi durumunda olay müdahale (IR) süreci tetiklenmelidir. Bu kritiklikteki göstergeler genellikle hedefli kampanyalar veya yüksek hacimli saldırılarla ilişkilidir.

Bağlam ve Etki Analizi

Bu IPv4 adresi kurumsal altyapınızda herhangi bir noktada erişim, çözümleme veya iletişim hedefi olarak yer alıyorsa, etkisi büyük ölçüde temasın bağlamına ve süresine bağlıdır. Tipik bir senaryoda; bir iç varlık bu IP'ye outbound bağlantı kurarsa, bu durum komuta-kontrol kanalı, veri sızdırma (exfiltration) veya zararlı yükün indirilmesine ait güçlü bir gösterge olarak değerlendirilir. NetFlow ve firewall log'larında bu IP'ye yönelik tüm bağlantı denemeleri (başarılı/başarısız) en az 12 ay süreyle saklanmalıdır. Phishing kategorisindeki etkilenme, doğrudan hesap ele geçirme (account takeover) riskini doğurur; tek bir başarılı tıklama, MFA bypass teknikleriyle birleştiğinde iç ağda yanal hareket (lateral movement) için başlangıç noktası oluşturabilir. Kritik seviyedeki bu kayıt için etki doğrulaması SOC ekibinin öncelikli görevidir; ilk 4 saatlik müdahale penceresi kritik öneme sahiptir. Etki analizinin tamamlanması için yukarıdaki senaryolar SOC ekibinin mevcut log/EDR/firewall verisi ile çapraz doğrulanmalı, gerekirse olay müdahale (IR) prosedürü tetiklenmelidir.

Önerilen Aksiyonlar

1 Çevre güvenlik duvarında bu göstergeyi acil engelleme listesine ekleyin; konfigürasyon değişikliği için olağan değişiklik onay süreci yerine ivedi hat (emergency CAB) kullanılmalıdır.
2 SIEM/EDR platformunda eşleştirme kuralı oluşturun ve son 90 günlük log arşivinde geriye dönük korelasyon çalıştırın.
3 Sınır yönlendiricilerinde bu IP/aralık için inbound ve outbound ACL kuralı tanımlayın; NetFlow telemetrisini etkinleştirin.
4 NDR/NTA çözümünüzde bu IP'ye yönelik bağlantı denemelerini yüksek-öncelikli alarm olarak işaretleyin.
5 Son kullanıcı farkındalık takımına bilgilendirme yayımlayın; çalışanlara phishing kampanyası uyarısı geçin ve gerekirse hedefli simülasyon planlayın.
6 M365/Google Workspace seviyesinde URL'ye yapılan tüm tıklama olaylarını ITDR araçlarına aktarın; potansiyel kimlik bilgisi sızıntısı için MFA reset prosedürünü hazır tutun.
7 Bu göstergeyi kurumsal tehdit istihbarat platformuna (TIP) kaynak atfı ile birlikte kaydedin; resmi kaynak: siberguvenlik.gov.tr · USOM. Orijinal kayıt: 116.31.116.38

Ağ Bilgisi (RIPE NCC)

Bu IP adresinin küresel internet kayıt otoriteleri (RIR) üzerindeki ASN, organizasyon, tahsis ülkesi ve PTR (reverse DNS) bilgileri. stat.ripe.net beslemesinden çekilir, DB'ye kaydedilir; ileride aynı sayfa yüklendiğinde anlık servis edilir.

ASN: AS4134 — CHINANET-BACKBONE No.31,Jin-rong Street
Ülke: CN
Ağ aralığı: 116.16.0.0/12
Tescil otoritesi: APNIC
Sorgu zamanı: 30.05.2026 09:09

Tespit Yöntemleri

Bu göstergenin kurumsal ortamınızda kullanılıp kullanılmadığını belirlemek için telemetri ve log kaynaklarında uygulanabilecek somut sorgular.

1 Firewall ve sınır yönlendirici log'larında bu IP'ye yönelik tüm inbound/outbound bağlantı denemelerini sorgulayın (son 30/90/180 gün).
2 NetFlow/IPFIX telemetrisinde bu IP ile bayt/oturum bazlı korelasyon yapın; uzun-süreli ve düşük-hacimli (beacon'a uygun) oturumları işaretleyin.
3 EDR ağ telemetrisinde process → IP eşlemesi çıkararak hangi uç noktanın bu IP'ye eriştiğini tespit edin.
4 Threat intel reputation servislerinde (VirusTotal, AbuseIPDB, GreyNoise) son tarama sonuçlarını ve geo/ASN bilgisini gözden geçirin.
5 E-posta güvenlik (M365 Defender, Proofpoint, Mimecast) URL tıklama raporlarında bu adresi sorgulayın; tıklayan kullanıcılar için MFA reset prosedürünü hazırlayın.
6 Kimlik sağlayıcı (Entra ID, Okta) anormal oturum açma log'larında ilgili kullanıcılar için risky sign-in olaylarını korele edin.

İlgili Saldırı Taktikleri (MITRE ATT&CK)

Bu IoC ile ilişkili kategori ve bağlantı tipinin tipik olarak haritalandığı MITRE ATT&CK taktik ve teknikleri.

TA0001 İlk Erişim (Initial Access) T1566 Phishing T1566.002 Spearphishing Link T1598 Phishing for Information T1078 Geçerli Hesaplar (Valid Accounts)

Sık Sorulan Sorular

116.31.116.38 adresi tehlikeli mi?: Evet. "116.31.116.38" kaydı T.C. Siber Güvenlik Başkanlığı (eski USOM) doğrulanmış tehdit beslemesinde "Oltalama" kategorisinde yer almakta ve kritik kritiklik seviyesi (1/10) ile sınıflandırılmıştır. Bu kayıt resmi tehdit istihbaratı olarak yayımlandığı için kurumsal engelleme listelerine alınması ve son kullanıcıların erişiminin engellenmesi tavsiye edilir.
Bu USOM kaydı ne kadar süreyle aktif kalır?: Resmi tehdit kaydı, kaynak kurum tarafından kaldırılana veya temizlendiği doğrulanana kadar aktif kalır. SiberAnaliz veri seti USOM beslemesi ile günde birden fazla kez senkronize edilir; kaldırılan kayıtlar otomatik olarak arşive alınır ve detay sayfaları "tarihsel kayıt" olarak işaretlenir. Kurumsal engelleme politikalarınızda bu kayıt için en az 90 günlük bir gözetim penceresi tutmanız önerilir.
116.31.116.38 adresini kurumsal ortamımda nasıl engellerim?: Engelleme stratejisi gösterge tipine göre değişir. Bu kayıt bir IPv4 adresi olduğundan: (1) sınır güvenlik duvarında çıkış kuralı tanımlayın, (2) DNS RPZ veya secure DNS resolver üzerinde sinkholing uygulayın, (3) secure web gateway / web filtreleme ürünündeki tehdit feed'ine ekleyin, (4) EDR/SIEM platformunda eşleştirme kuralı oluşturarak temas eden uç noktaları izleyin. Detaylı liste için sayfadaki "Önerilen Aksiyonlar" bölümünü inceleyin.
USOM bu kaydı neden yayımladı?: Kayıt, "Oltalama" kategorisinde tehdit göstergesi olarak işaretlenmiştir. T.C. Siber Güvenlik Başkanlığı bu tür kayıtları; ihbar, otomatik tarama, uluslararası CERT iş birliği veya operasyonel istihbarat kaynakları üzerinden doğrulayarak kamu ile paylaşır. Amaç, ulusal siber güvenlik direncini artırmak ve hem kurumların hem de bireysel kullanıcıların proaktif olarak korunmasını sağlamaktır.
Yanlışlıkla bu listede olduğumu düşünüyorum, ne yapabilirim?: SiberAnaliz, USOM veri setinin üzerine analitik içerik üreten bağımsız bir hizmettir; kayıt ekleme/çıkarma yetkimiz yoktur. Kaydınızın yanlış sınıflandırıldığını düşünüyorsanız resmi kaynak olan T.C. Siber Güvenlik Başkanlığı (siberguvenlik.gov.tr) ile iletişime geçerek itiraz/temizlik talebi açmanız gerekir. Resmi kaynaktan kaldırma onaylandıktan sonra SiberAnaliz veri seti sonraki senkronizasyonda otomatik olarak güncellenecektir.
Bu kayıt ilk ne zaman yayımlandı?: Kayıt resmi USOM beslemesinde 2017-04-05 10:55:32 tarihinde yayımlandı. Geriye dönük log korelasyonu çalışmalarınızda bu tarihi başlangıç noktası olarak alabilirsiniz; ancak göstergenin saldırgan tarafından aktif olarak kullanılmaya başlanma tarihi yayım tarihinden önce olabilir, bu nedenle 30–90 gün daha geriye dönük log arama tavsiye edilir.

Aynı tipte ve benzer profilde, yakın zamanda yayımlanmış diğer tehdit göstergeleri.