— Saha defteri / 8 Nisan 2026 —

Behelit: Bir Tıklamanın Kapı Açtığı Yer

Behelit'in tek özelliği vardır: yanlış elde, doğru anda titrer. Sıradan bir taşken ansızın bir yüze dönüşür, ve gözleri açıldığında Tanrısal El'i çağırmıştır. Phishing payload'ı tam olarak böyle bir taştır.

Taşın Üç Yüzü

Bir Behelit, üç biçimde gelir: gözleri kapalı (zararsız görünür), gözleri yarı açık (ısınmıştır, tetiklenmeye hazır), tamamen açık (geri dönüşü yok). Bir oltalama e-postası da aynı üç fazda yaşar.

Faz 1 — Kapalı Göz: Lure

"Faturanız ekte." "DocuSign hesabınızı doğrulayın." "Yöneticiniz sizinle bir dosya paylaştı." Sıradan kelimeler. SPF, DKIM, DMARC uyumlu. Hiçbir EDR alarm vermez. Çünkü bu fazda Behelit henüz bir taştır.

Faz 2 — Yarı Göz: Loader

Kullanıcı bağlantıya tıklar; bir HTML smuggling sayfası açılır. Tarayıcıda görünen şey şu olabilir:

<script>
  const blob = new Blob([atob(payload)], { type: "application/zip" });
  const url  = URL.createObjectURL(blob);
  const a    = document.createElement("a");
  a.href     = url; a.download = "Fatura_2026-04.zip";
  a.click();
</script>

ZIP açılır, içinde bir .lnk dosyası vardır. LNK, powershell -nop -w hidden -c "iex(iwr ...)" tarzı bir komut çalıştırır. Behelit'in gözleri açılmaya başlamıştır.

Faz 3 — Açık Göz: Beacon

Loader, ikinci aşamayı çeker — Cobalt Strike, Sliver, Brute Ratel veya özel bir implant. Artık ağa gerçek bir varlık girmiştir. Tanrısal El çağrılmıştır; geri dönüşü yoktur.

Behelit'i Tutmamak — Kullanıcı Eğitiminin Sınırı

Yaygın yanılgı: kullanıcılar yeterince eğitilirse Behelit'e dokunmaz. Yanlış. Behelit zaten doğru anda titreşmek üzere tasarlanmıştır: dönem sonu fatura yoğunluğunda, IK haberi sırasında, bir devir teslim sabahında. İnsan tarafında savunma kurmak, zırha bel bağlamaktır.

"Zırh ne kadar kalın olursa olsun, bir Havari yeterince beklerse içeri girer."

Behelit'i Görmek — Detection

• HTML smuggling izi: Mail gateway'de application/octet-stream base64 + Blob + download kombinasyonu yüksek puanlı kural olmalı.
• LNK içinde PowerShell: Sysmon EID 1 + ParentImage explorer.exe + CommandLine içinde iex|iwr|frombase64 regex'i ile yakalanır.
• Office macro / DLL sideload: winword.exe → rundll32.exe veya excel.exe → mshta.exe tipik anomalilerdir.

Behelit'i Kırmak — Containment

Bir kullanıcı Behelit'e dokunduğunu fark ettiğinde tek doğru tepki: makineyi ağdan koparmak ve parolaları söylemeden önce kimliğin kendisini iptal etmek. Çünkü saldırgan ilk dakikada token çalmıştır; parola değiştirmek artık ona zarar vermez.

— Kara Süvari, gece geç saat, mail gateway loglarında.