TLP:WHITE — Açık Dağıtım
AbusEye Platform Raporu / v3.0 / KEYDAL Güvenlik Araştırmaları

AbusEye

Malware Tehdit İstihbaratı Platformu

KEYDAL Güvenlik Araştırmaları · Yazar Medya A.Ş.

01

Yönetici Özeti

AbusEye, KEYDAL Güvenlik Araştırmaları tarafından geliştirilen ve aktif olarak yönetilen bir açık kaynak tehdit istihbaratı platformudur. RAT, Infostealer, Backdoor, Loader, Botnet, Ransomware ve Stresser kategorilerindeki kötü amaçlı yazılım ailelerini analiz ederek savunmacı güvenlik topluluğuna kapsamlı ve ücretsiz tehdit istihbaratı sağlamaktadır.

Platform; statik analiz, dinamik analiz, C2 altyapı izleme ve IOC üretimi çalışmalarının sonuçlarını yapılandırılmış biçimde yayımlamaktadır. Her içerik MITRE ATT&CK çerçevesiyle eşleştirilmekte, tespit edilen C2 sunucularına yönelik suistimal bildirimleri AbuseIPDB, Spamhaus ve CERT-TR üzerinden gerçekleştirilmektedir.

Savunma Odaklı Açık Erişim MITRE ATT&CK Eşlemeli Haftalık Bülten
02

Platform İstatistikleri

89386
Araştırma Raporu
392
Malware Ailesi
293703
IOC Kaydı
68
CVE Kaydı
6182
C2 Sunucusu
11
Haftalık Rapor
03

Metodoloji

KEYDAL AbusEye'in standart malware analiz iş akışı altı aşamadan oluşmaktadır:

01

Örnek Toplama

Phishing, honeypot, MalwareBazaar ve Threat Intelligence paylaşım platformlarından numune toplama. VirusTotal Public Feeds ve abuse.ch URLhaus entegrasyonu.

02

Statik İnceleme

PE başlık analizi, hash doğrulama, string çıkarımı, import tablosu, obfuscation tespiti ve packer analizi. YARA kural üretimi.

03

Dinamik Yürütme

İzole sandbox ortamında çalıştırma; süreç ağacı, ağ trafiği, dosya sistemi ve registry değişimlerinin izlenmesi.

04

C2 Analizi

Komuta & kontrol trafiğinin protokol analizi, şifre çözme, sunucu tespiti, ASN araştırması ve aktif izleme.

05

IOC Üretimi

Hash, IP, domain, mutex, yol ve ağ imzaları. YARA kural oluşturma, Sigma imzaları ve STIX formatında dışa aktarım.

06

Raporlama & Şikayet

Teknik rapor yayımlama, AbuseIPDB/Spamhaus bildirimi, CERT-TR ve ISP abuse bildirimleri. Haftalık özet bülteni.

04

Analiz Kapsamı

RAT

AsyncRAT, NjRAT, Remcos, QuasarRAT, DarkComet ve diğerleri.

Uzaktan Erişim Trojanı

Infostealer

RedLine, Lumma, Vidar, RisePro, Raccoon ve diğerleri.

Veri Hırsızı

Backdoor

PlugX, Gh0st RAT, Poison Ivy ve APT araçları.

Arka Kapı

Loader / Dropper

GuLoader, SmokeLoader, ModiLoader ve shellcode taşıyıcılar.

Yükleyici

Botnet & Stresser

Mirai türevleri, DDoS altyapısı, IP stresser servisleri ve booter ağları.

DDoS / Ağ Saldırısı

Ransomware

Şifreleme analizi, fidye altyapısı, decrypt araçları ve acil müdahale kılavuzları.

Fidye Yazılımı
05

KEYDAL Hakkında

KEYDAL Yazılım, Yazar Medya Anonim Şirketi bünyesinde faaliyet gösteren siber güvenlik yazılımı ve araştırma birimidir. Güvenlik danışmanlığı, penetrasyon testi, tehdit istihbaratı ve kurumsal güvenlik çözümleri geliştirmektedir.

Yazar Medya A.Ş. Üst Kuruluş
KEYDAL Yazılım Güvenlik Birimi
AbusEye Bu Platform
06

Araçlar & Kaynaklar

Bu bölümde tehdit aktörlerinin kullandığı araçlar ve savunmacı güvenlik ekiplerinin başvurabileceği kaynaklar listelenmektedir. Tüm içerik eğitim ve savunma amaçlıdır.

Stresser / DDoS Araçları

Ağ yük testi, DDoS saldırısı ve botnet altyapısı bağlamında izlenen araçlar:

Mirai Botnet Kritik

IoT cihazlarını ele geçirerek oluşturulan devasa DDoS botnet'i. Kaynak kodu sızdırıldıktan sonra onlarca türev ortaya çıktı (Miori, Moobot, Okiru).

DDoSIoTBotnet
IP Stresser / Booter Yüksek

Ücretli DDoS-as-a-Service platformları. Kullanıcıların hedef IP adreslerine trafik bombardımanı yapmasına olanak tanır. Çoğu yasadışıdır.

DDoS-as-a-ServiceUDP Flood
LOIC / HOIC Orta

Low Orbit Ion Cannon ve High Orbit Ion Cannon. Ağ stres testi amacıyla geliştirilmiş ancak Anonymous gibi gruplar tarafından DDoS aracı olarak kullanılan açık kaynak yazılımlar.

HTTP FloodAçık Kaynak
SlowLoris Orta

HTTP başlık saldırısı aracı. Web sunucularına yarı açık bağlantılar göndererek kaynakları tüketen katman-7 DDoS tekniği.

Layer-7HTTP

C2 Framework'leri

Penetrasyon testi ve red team operasyonlarında kullanılan; tehdit aktörlerince de istismar edilen araçlar:

Cobalt Strike Kritik

Ticari red team platformu. Beacon implantı, aggressor scriptleri ve takım sunucusu. Cracked versiyonları APT grupları dahil pek çok tehdit aktörü tarafından kullanılmaktadır.

Red TeamBeaconPost-Exploitation
Metasploit Yüksek

Açık kaynak penetrasyon testi framework'ü. Exploit, payload ve post-exploitation modülleri. Meterpreter ve stageless payload'lar kötüye kullanılmaktadır.

ExploitMeterpreterAçık Kaynak
Sliver & Havoc Yüksek

Modern açık kaynak C2 framework'leri. Cobalt Strike alternatifi olarak geliştirilmiş olup tehdit aktörlerinin radarına girmeye başlamıştır.

Modern C2Açık Kaynak

Savunma Araçları & Kaynakları

07

Veri Politikası

Veri Kaynakları

Açık İstihbarat (OSINT)MalwareBazaar, abuse.ch URLhaus, AlienVault OTX, Feodo Tracker, ThreatFox, VirusTotal Public Feeds
Manuel AnalizKEYDAL ekibi tarafından toplanan örnekler, tersine mühendislik ve dinamik analiz çalışmaları
Honeypot Altyapısıİnternet yüzeyine açık tuzak sistemlere yönelik bağlantı girişimleri ve trafik logları
Topluluk KatkılarıGüvenlik araştırmacıları ve SOC ekiplerinden alınan örnek ve IOC paylaşımları

Veri Sınıflandırması

Veri TürüKaynakSaklamaErişim
Malware HashNumune analiziSüresizAçık
C2 AdresleriDinamik analiz, honeypotSüresizAçık
IOC VerileriStatik/dinamik analizSüresizAçık
CVE KayıtlarıNVD, vendor bildirimleriSüresizAçık
Abuse KayıtlarıKEYDAL ekibi girişiSüresizİç Kullanım
Ham NumunelerAnaliz ortamı180 günPaylaşılmaz

C2 İzleme Sistemi

Çalışma SıklığıHer 4 saatte bir — cron: 0 */4 * * *
DNS Çözümleme8.8.8.8 ve 1.1.1.1 üzerinden A kaydı sorgusu (5 sn timeout)
TCP BağlantıKayıtlı porta TCP SYN denemesi (5 sn timeout). Başarı → Aktif, hata → Pasif
Eşzamanlılık8 paralel worker ile tüm C2 listesi taranır, sonuçlar toplu güncellenir
08

Sorumlu İfşa Politikası

Önemli Uyarı

Bu platformdaki tüm içerik eğitim ve savunma amaçlı olup güvenlik uzmanlarının tehditleri anlamasına ve savunma mekanizmaları geliştirmesine yardımcı olmak için hazırlanmıştır.

IOC, C2 adresi veya teknik bilgilerin kötüye kullanımı kesinlikle yasaktır ve Türk Ceza Kanunu'nun 243-245. maddeleri kapsamında suç teşkil edebilir.

Güvenlik Açığı Bildirin

AbusEye platformunda veya KEYDAL altyapısında bir güvenlik açığı keşfettiyseniz lütfen sorumlu ifşa ilkelerine uygun biçimde bildirin. 48 saat içinde yanıt verilmektedir.

Yanıt süresi: 48 saat İyileştirme hedefi: 30 gün Teşekkür: Hall of Fame veya kredi
Kapsam Dahilinde
  • AbusEye platformu (bu web sitesi)
  • KEYDAL altyapısı ve servisleri
  • API güvenlik açıkları
  • Veri sızıntısı riskleri
Kapsam Dışı
  • Üçüncü taraf platformlar
  • Sosyal mühendislik saldırıları
  • DDoS testleri
  • Fiziksel güvenlik testleri