— Saha defteri / 25 Mart 2026 —

Kurban Damgası: IOC'lerin Karanlık Mantığı

Boynunda bir damga var. Her gece kanar. Damga oradayken demonlar seni görür ve gelir. Damgayı çıkaramazsın. Ama Guts gibi, onu pusulaya çevirebilirsin.

Damga Nedir?

IOC (Indicator of Compromise), bir kurbanın üzerine bırakılmış izdir. Bir hash, bir IP, bir mutex, bir registry anahtarı, bir kullanıcı-ajan dizgesi. Saldırgan onu bilerek bırakmaz; orada kalmıştır çünkü operasyonun maliyetinde geriye kalandır.

Damga gibi: kimse seni damgalamak için kalmamıştır; damga yalnızca ritüelin bir tortusudur. Ama o tortu, demon için artık seni nereden bulacağını söyler.

Damgaların Hiyerarşisi — Pyramid of Pain

Tüm damgalar eşit acı vermez. David Bianco'nun Pyramid of Pain şemasını Berserk evrenine taşıyalım:

Katman	Damga	Saldırgana acı
1. Hash	MD5/SHA1/SHA256	Önemsiz — yeniden derler
2. IP	C2 IP'si	Düşük — yeni IP kiralar
3. Domain	FQDN	Orta — yeni domain pahalıdır
4. Network/Host artefaktı	UA, mutex, named pipe	Yüksek — kod değişikliği gerek
5. Tool	Cobalt Strike profili, custom loader	Çok yüksek — toolchain değişir
6. TTP	MITRE tekniği	Maksimum — operatörün davranışıdır

Hash bloğu, demonun saçından bir tel kesmek gibidir; demon güler. TTP'yi engellemekse zırhının altındaki sinire dokunmaktır.

Damgayı Pusulaya Çevirmek

Guts, damgayla yaşamayı öğrendi. Bunu yaparken üç şey yaptı:

Damgayı sakladı. Sürekli görmek deli ediyordu; gerektiğinde baktı. Bir SOC analisti de IOC'yi ezberlemez, sorgulanabilir bir TIP / OpenCTI deposunda tutar.
Damganın ne zaman kanadığına dikkat etti. Demon yaklaştığında damga ısınırdı. Bir alarm, IOC eşleşince değil, eşleşme + bağlam (kullanıcı, saat, süreç ağacı) anlamlı olduğunda ateşlenmelidir.
Damgayı silmeye çalışmadı. Tehdit avcılığında en büyük yanılgı IOC listelerini "temizlemek"tir. Eski IOC, yeni saldırı zincirinin başlangıcı olabilir. Sadece ağırlıklarını düşür, atma.

Damga ile Yazılan Kural — Sigma Örneği

        brand_of_sacrifice.yml
        Sigma
      

title: Behelit Çağrısı — LNK + PowerShell IEX
id: 8b110017-c420-2a00-bone-defter000001
status: experimental
description: Explorer altından LNK kanalıyla başlatılan PowerShell + IEX kombinasyonu.
author: Kara Süvari (The Black Forge)
logsource:
  product: windows
  category: process_creation
detection:
  selection:
    ParentImage|endswith: '\explorer.exe'
    Image|endswith: '\powershell.exe'
    CommandLine|contains|all:
      - 'iex'
      - 'http'
  filter_signed:
    CommandLine|contains: 'Microsoft.PowerShell.Operation.Validation'
  condition: selection and not filter_signed
level: high
tags:
  - attack.execution
  - attack.t1059.001
  - berserk.behelit

Damga Paylaşmak — STIX/TAXII

Bir Kara Süvari tek başına yürür ama tek başına ölmek istemez. İyi bir IOC, paylaşılırsa iyi bir IOC'dir. STIX 2.1 formatında bir "indicator" objesi, TAXII üzerinden bir ISAC'a düşer ve aynı gece üç başka kuruluş daha kurtulur. Damga, paylaşıldıkça acıyı azaltır.

— Kara Süvari, gömleği açık, omzunda kuruyan kan, defterde altı kural.