From cd41bc87be9b15591ad98a57e437b9b2b08a8a3e Mon Sep 17 00:00:00 2001 From: rabia Date: Tue, 10 Mar 2026 21:27:39 +0300 Subject: [PATCH 1/5] obfuscation image fix --- _posts/2026-03-10-obfuscation.md | 24 +++++++++++++----------- blog | 1 + 2 files changed, 14 insertions(+), 11 deletions(-) create mode 160000 blog diff --git a/_posts/2026-03-10-obfuscation.md b/_posts/2026-03-10-obfuscation.md index 007909b..7064ad1 100644 --- a/_posts/2026-03-10-obfuscation.md +++ b/_posts/2026-03-10-obfuscation.md @@ -2,7 +2,7 @@ title: Obfuscation date: 2026-03-10 20:00:00 +0300 categories: [Siber Güvenlik Temelleri] -tags: [Siber Ölüm Zinciri, Sızma Testi, Siber Güvenlik Metodolojisi, MITRE ATT&CK, Siber Güvenlik Temelleri] +tags: [Malware, Siber Güvenlik Metodolojisi, MITRE ATT&CK, Siber Güvenlik Temelleri, Obfuscation] author: rabiacelikli --- @@ -24,9 +24,9 @@ Gerçek hayatta bu tür senaryolar görece nadir olabilir. Ancak siber güvenlik Obfuscation, kelime olarak gizleme, örtme, karartma gibi anlamlara sahiptir (Tureng). Siber güvenlik dünyasında ise bu daha çok bir şeyi anlamayı zorlaştırmak anlamında kullanılır. Obfuscation aslında iki yüzü olan bir madeni paraya benzer çünkü obfuscation sadece malware gizlemeye yaramaz, verileri anonimleştirmek ve daha güvenli şekilde saklamak için de kullanılır. ## Data Obfuscation -Data Obfuscation, Türkçeye çevirmek istersek veri gizleme, veriyi tamamen şifrelemekten farklı olarak, verinin işlevselliğini kısmen koruyarak anlaşılmasını zorlaştırmayı amaçlar. Bu sayede yetkisiz erişim gerçekleşse bile saldırganın elde ettiği veri doğrudan anlamlı olmayabilir. Data obfuscation'a olan ihtiyacı en güzel IBM'in **"Cost of a Data Breach 2025"** raporu gözler önüne seriyor. IBM'e göre 2025'te veri ihlallerinin küresel ortalama maliyeti 4,44 milyon dolara ulaştı ve maliyetin ileriki yıllarda katlanarak artacağı öngörülüyor. +Data Obfuscation, Türkçeye çevirmek istersek veri gizleme, veriyi tamamen şifrelemekten farklı olarak, verinin işlevselliğini kısmen koruyarak anlaşılmasını zorlaştırmayı amaçlar. Bu sayede yetkisiz erişim gerçekleşse bile saldırganın elde ettiği veri doğrudan anlamlı olmayabilir. Data obfuscation'a olan ihtiyacı en güzel IBM'in "Cost of a Data Breach 2025" raporu gözler önüne seriyor. IBM'e göre 2025'te veri ihlallerinin küresel ortalama maliyeti 4,44 milyon dolara ulaştı ve maliyetin ileriki yıllarda katlanarak artacağı öngörülüyor. -Öte yandan, **Verizon** tarafından yayımlanan **Data Breach Investigations Report**'a göre saldırıların önemli bir kısmı geçerli kullanıcı hesaplarının kötüye kullanılmasıyla başlamaktadır. Bu durum, saldırganların sistemlere yetkili kullanıcı gibi erişebilmesine olanak tanımaktadır. Böyle bir senaryoda saldırgan sistem içerisindeki veriye erişebilse bile data obfuscation teknikleri sayesinde hassas bilginin doğrudan okunabilir olmaması sağlanabilir. +Öte yandan, Verizon tarafından yayımlanan Data Breach Investigations Report'a göre saldırıların önemli bir kısmı geçerli kullanıcı hesaplarının kötüye kullanılmasıyla başlamaktadır. Bu durum, saldırganların sistemlere yetkili kullanıcı gibi erişebilmesine olanak tanımaktadır. Böyle bir senaryoda saldırgan sistem içerisindeki veriye erişebilse bile data obfuscation teknikleri sayesinde hassas bilginin doğrudan okunabilir olmaması sağlanabilir. ### Önemli Data Obfuscation Teknikleri **Data Masking (Veri Maskeleme):** Veri maskeleme, hassas bilgileri değiştirerek gerçek veriye benzer ancak güvenli bir veri seti oluşturma yöntemidir. Bu süreçte, verinin yapısı ve gerçekçiliği korunurken içerik çeşitli tekniklerle değiştirilir. Maskeleme uygulandıktan sonra ise orijinal verilere, yalnızca maskelenmiş veri üzerinden geri ulaşmak mümkün değildir. İki çeşidi vardır: Statik ve dinamik maskeleme. @@ -62,7 +62,7 @@ Sonuç: **** **** **** 1234 ``` -**Tokenization (Tokenizasyon):** Tokenizasyon, hassas verilerin gizli olmayan başka verilerle değiştirilmesi yöntemidir. Değiştirilen verilere "token" denilir. Orijinal veri bir token ile değiştirildikten sonra sistem bu veriyi "token vault" denen iyi korunaklı bir sunucuya gönderir, böylece sistemde asıl veri değil token işlem görür. Sadece token vault'a erişim izni olan yetkili kişiler token ve orijinal veri arasındaki bağlantıyı görebilir. +**Tokenization (Tokenizasyon):** okenizasyon, hassas verilerin gizli olmayan başka verilerle değiştirilmesi yöntemidir. Değiştirilen verilere "token" denilir. Orijinal veri bir token ile değiştirildikten sonra sistem bu veriyi "token vault" denen iyi korunaklı bir sunucuya gönderir, böylece sistemde asıl veri değil token işlem görür. Sadece token vault'a erişim izni olan yetkili kişiler token ve orijinal veri arasındaki bağlantıyı görebilir. Tokenizasyon özellikle ödeme sistemlerinde yaygın olarak kullanılmaktadır. Herhangi bir alışveriş sitesine kredi kartı bilgilerinizi kaydettiyseniz, mevzubahis site kart bilgilerini değil token'ı saklar. @@ -76,7 +76,7 @@ Kredi Kartı:TKN_91XK27A ``` **Data Encryption (Veri Şifreleme):** Şifrelemenin mutfağında üç ana malzeme vardır: Normal orijinal veri (plaintext), şifreleme algoritması (encryption algorithm) ve anahtar (key). Yani, elinizdeki normal veriyi (plaintext) matematiksel bir algoritma kullanarak okunamaz bir forma (ciphertext) dönüştürme işlemidir ve yalnızca doğru anahtara sahip sistemler tarafından tekrar çözülebilir. -Şifreleme sayesinde veriler ister yerel bir sistemde ister bulut ortamında bulunsun güvenli şekilde saklanabilir. Ayrıca verilerin iletilmesi ve işlenmesi sırasında da korunmasını sağlar. Bu nedenle, şifreleme bulut güvenliği çalışmaları ve daha geniş anlamda siber güvenlik stratejileri için kritik önem taşımaktadır. IBM'in "Cost of a Data Breach 2025" raporuna göre , şifreleme kullanan kuruluşlar, veri ihlalinin finansal etkisini 200.000 ABD dolarından fazla azaltabilir. (IBM) +Şifreleme sayesinde veriler ister yerel bir sistemde ister bulut ortamında bulunsun güvenli şekilde saklanabilir. Ayrıca verilerin iletilmesi ve işlenmesi sırasında da korunmasını sağlar. Bu nedenle, şifreleme bulut güvenliği çalışmaları ve daha geniş anlamda siber güvenlik stratejileri için kritik önem taşımaktadır. IBM'in "Cost of a Data Breach 2025" raporuna göre , şifreleme kullanan kuruluşlar, veri ihlalinin finansal etkisini 200 bin doların üzerinde azaltabilir. (IBM) İki ana türü vardır: Simetrik ve asimetrik şifreleme. @@ -101,16 +101,18 @@ Daha bir çok obfuscation tekniğinden bahsedebiliriz elbet ama hepsi genel olar ## Malware Obfuscation Obfuscation’dan bahsederken iki yüzü olan bir madeni paraya benzetmesi yapmıştık. Data obfuscation’ın ve verinin anonimleştirilmesinin önemini gördük. Ancak bu gizleme teknikleri yalnızca veriyi korumak için mi kullanılır? -Aslında hayır. Aynı teknikler saldırganlar tarafından zararlı yazılımları gizlemek ve güvenlik mekanizmalarından kaçınmak için de kullanılabilir. Hatta bu yaklaşım [MITRE ATT&CK Framework'ünde](https://valientetechnologies.com/blog/posts/mitre-attack/) Defense Evasion taktiği altında "Obfuscated Files or Information" (T1027) tekniği olarak yer almaktadır. Başlıca hedef kötü amaçlı yazılımın davranışını değiştirmeden görünümünü değiştirerek tespit edilmesini önlemeye çalışmaktır. Bu gizlemeyi birden çok şekilde yapabilirler, bu yüzden MITRE ATT&CK içerisinde tam tamına 17 alt teknikle beraber listelenir. +Aslında hayır. Aynı teknikler saldırganlar tarafından zararlı yazılımları gizlemek ve güvenlik mekanizmalarından kaçınmak için de kullanılabilir. Hatta bu yaklaşım MITRE ATT&CK Framework'ünde Defense Evasion taktiği altında "Obfuscated Files or Information" (T1027) tekniği olarak yer almaktadır. Başlıca hedef kötü amaçlı yazılımın davranışını değiştirmeden görünümünü değiştirerek tespit edilmesini önlemeye çalışmaktır. Bu gizlemeyi birden çok şekilde yapabilirler, bu yüzden MITRE ATT&CK içerisinde tam tamına 17 alt teknikle beraber listelenir. + +![Image](/assets/img/2026-03-10/obfuscation_2.png) Obfuscation tekniklerinin gerçek dünyadaki kullanımına verilebilecek en dikkat çekici örneklerden biri **SolarWinds** saldırısıdır. 2020 yılında ortaya çıkan bu saldırıda, saldırganlar SolarWinds Orion yazılımının güncelleme sürecine zararlı kod enjekte ederek bir supply chain saldırısı gerçekleştirmiştir. Güncelleme paketinin içine gizlenen bu zararlı kod, birçok güvenlik kontrolünden fark edilmeden geçebilmiştir. Zararlı yazılımın analizini zorlaştırmak için çeşitli obfuscation teknikleri kullanılmış ve böylece saldırı aylar boyunca fark edilmeden devam etmiştir. Şimdi birkaç malware obfuscation yöntemlerine bakalım. ### Önemli Malware Obfuscation Yöntemleri -**Steganography (Steganografi):** Arkadaşınızın gönderdiği e-postaya eklenmiş PNG dosyasını indirirken kaç kere durup düşünürsünüz? Steganografi yüzünden iki kez düşünmenizde fayda var çünkü bu yöntem sayesinde saldırganlar, tespit edilmemek için zararlı yazılımı başka veriler veya nesneler içine saklar. Steganografi; metin, resim, video veya ses içeriği dâhil olmak üzere neredeyse her tür dijital içeriği gizlemek için kullanılabilir. Bu gizli veriler hedefine ulaştıktan sonra çıkarılır. +**Steganography (Steganografi):** Arkadaşınızın gönderdiği bir e-postaya eklenmiş PNG dosyasını indirirken kaç kez durup düşünürsünüz? Steganografi yüzünden iki kez düşünmenizde fayda var çünkü bu yöntem sayesinde saldırganlar, tespit edilmemek için zararlı yazılımı başka veriler veya nesneler içine saklar. Steganografi; metin, resim, video veya ses içeriği dâhil olmak üzere neredeyse her tür dijital içeriği gizlemek için kullanılabilir. Bu gizli veriler hedefine ulaştıktan sonra çıkarılır. -Steganografi tekniklerinin gerçek saldırılarda nasıl kullanılabildiğine dair dikkat çekici örneklerden biri 2016 yılında ortaya çıkan **Stegano Exploit Kit** saldırısıdır. Bu saldırıda saldırganlar, popüler web sitelerinde yayınlanan banner reklamlarını kullanarak zararlı kod dağıtmıştır. +Steganografi tekniklerinin gerçek saldırılarda nasıl kullanılabildiğine dair dikkat çekici örneklerden biri 2016 yılında ortaya çıkan Stegano Exploit Kit saldırısıdır. Bu saldırıda saldırganlar, popüler web sitelerinde yayınlanan banner reklamlarını kullanarak zararlı kod dağıtmıştır. Saldırganlar, JavaScript kodunu reklam görsellerinin pikselleri içerisine gizlemiştir. Kullanıcılar bu reklamların bulunduğu web sayfalarını ziyaret ettiğinde, farkında olmadan zararlı kodu tetikleyen bir süreç başlatılmıştır. Bu süreç sonucunda kullanıcı sistemine ek zararlı yazılımlar indirilebilmiştir. @@ -120,7 +122,7 @@ Bu saldırının etkili olmasının en önemli nedeni, reklamların çok geniş Bu işlem sonucunda ortaya çıkan payload genellikle insanlar tarafından okunması oldukça zor bir hale gelir. Kodun işlevi aynı kalırken, analiz yapan güvenlik araştırmacılarının veya otomatik analiz araçlarının kodu anlaması daha fazla zaman ve çaba gerektirir. -Mesela XSS saldırılarında kullanılan **JSFuck** yöntemi ilginç bir örnektir. JSFuck, JavaScript kodunu yalnızca altı farklı karakter kullanarak yazmaya imkân veren bir obfuscation tekniğidir. Bu karakterler şunlardır: +Mesela XSS saldırılarında kullanılan JSFuck yöntemi ilginç bir örnektir. JSFuck, JavaScript kodunu yalnızca altı farklı karakter kullanarak yazmaya imkân veren bir obfuscation tekniğidir. Bu karakterler şunlardır: ``` @@ -143,7 +145,7 @@ Ancak JSFuck kullanıldığında aynı komut çok daha karmaşık ve anlaşılma Bu tekniğin temel amacı, özellikle imza tabanlı güvenlik sistemlerini zorlaştırmaktır. Birçok antivirüs veya güvenlik aracı zararlı yazılımları tespit ederken dosyaların hash değerlerinden veya belirli byte dizilerinden faydalanır. Ancak bir dosyanın içerisine rastgele veriler eklenirse, dosyanın hash değeri tamamen değişir ve daha önce oluşturulmuş tespit imzaları etkisiz hale gelebilir. -Binary Padding'in gerçek saldırılarda nasıl kullanıldığına dair örneklerden biri **Emotet malware** zararlı yazılımıdır. Bazı Emotet örneklerinde saldırganlar, dosya boyutunu yapay olarak büyütmek için 00-byte padding tekniğini kullanmıştır. Bu yöntemde zararlı yazılımın içerisine çok sayıda 00 byte eklenerek dosyanın overlay bölümüne gereksiz veri yerleştirilir. Böylece orijinalde yaklaşık **616 KB** olan PE dosyası, padding işlemi sonrası **548 MB** gibi oldukça büyük bir boyuta ulaşabilmektedir. +Binary Padding'in gerçek saldırılarda nasıl kullanıldığına dair örneklerden biri Emotet malware zararlı yazılımıdır. Bazı Emotet örneklerinde saldırganlar, dosya boyutunu yapay olarak büyütmek için 00-byte padding tekniğini kullanmıştır. Bu yöntemde zararlı yazılımın içerisine çok sayıda 00 byte eklenerek dosyanın overlay bölümüne gereksiz veri yerleştirilir. Böylece orijinalde yaklaşık 616 KB olan PE dosyası, padding işlemi sonrası 548 MB gibi oldukça büyük bir boyuta ulaşabilmektedir. ## Sonuç @@ -153,4 +155,4 @@ Veri tarafında obfuscation teknikleri; maskeleme, tokenizasyon ve şifreleme gi Ancak işin diğer tarafında saldırganlar da benzer yöntemlerden faydalanır. Zararlı yazılımlar steganografi ile görsellerin içine saklanabilir, JSFuck gibi tekniklerle okunamaz hâle getirilebilir veya binary padding gibi yöntemlerle güvenlik araçlarının - antivirüslerin analizini zorlaştırabilir. Amaç genellikle aynıdır: gerçek niyeti gizlemek ve tespit edilmeden sistem içinde kalabilmek. -Bu yüzden obfuscation’ı yalnızca bir **gizleme tekniği** olarak görmek eksik kalır. Aslında bu kavram, siber güvenliğin hem savunma hem de saldırı tarafında sürekli kullanılan bir stratejidir; önemli olan ise bu teknikleri sadece uygulamak değil, aynı zamanda saldırganların nasıl kullandığını da anlayabilmektir. +Bu yüzden obfuscation’ı yalnızca bir **gizleme tekniği** olarak görmek eksik kalır. Aslında bu kavram, siber güvenliğin hem savunma hem de saldırı tarafında sürekli kullanılan bir stratejidir; önemli olan ise bu teknikleri sadece uygulamak değil, aynı zamanda saldırganların nasıl kullandığını da anlayabilmektir. \ No newline at end of file diff --git a/blog b/blog new file mode 160000 index 0000000..5ee468b --- /dev/null +++ b/blog @@ -0,0 +1 @@ +Subproject commit 5ee468b794665cab40c2bcd94722905774679ff8 From 7417347cbbfd6f1ce1c3fc889db178654bc2a11b Mon Sep 17 00:00:00 2001 From: onur <67955086+otuva@users.noreply.github.com> Date: Tue, 10 Mar 2026 22:04:54 +0300 Subject: [PATCH 2/5] rm blog submodule again --- blog | 1 - 1 file changed, 1 deletion(-) delete mode 160000 blog diff --git a/blog b/blog deleted file mode 160000 index 5ee468b..0000000 --- a/blog +++ /dev/null @@ -1 +0,0 @@ -Subproject commit 5ee468b794665cab40c2bcd94722905774679ff8 From 4cc3c7ef0efd3e53c49962217ea225c8a3037949 Mon Sep 17 00:00:00 2001 From: onur <67955086+otuva@users.noreply.github.com> Date: Tue, 10 Mar 2026 22:10:07 +0300 Subject: [PATCH 3/5] run action on pr --- .github/workflows/pages-deploy.yml | 5 ++++- 1 file changed, 4 insertions(+), 1 deletion(-) diff --git a/.github/workflows/pages-deploy.yml b/.github/workflows/pages-deploy.yml index b018893..9fd05ac 100644 --- a/.github/workflows/pages-deploy.yml +++ b/.github/workflows/pages-deploy.yml @@ -8,7 +8,10 @@ on: - .gitignore - README.md - LICENSE - + pull_request: + branches: + - main + - master # Allows you to run this workflow manually from the Actions tab workflow_dispatch: From d578bab691690eb481576dcb026466a12e13f9a9 Mon Sep 17 00:00:00 2001 From: rabia Date: Tue, 10 Mar 2026 22:24:49 +0300 Subject: [PATCH 4/5] obfuscation final? --- blog | 1 + 1 file changed, 1 insertion(+) create mode 160000 blog diff --git a/blog b/blog new file mode 160000 index 0000000..5ee468b --- /dev/null +++ b/blog @@ -0,0 +1 @@ +Subproject commit 5ee468b794665cab40c2bcd94722905774679ff8 From 8da3477167335fa38867970443e36094c8b1d4d9 Mon Sep 17 00:00:00 2001 From: rabia Date: Tue, 10 Mar 2026 22:30:54 +0300 Subject: [PATCH 5/5] obfuscation final? --- blog | 1 - 1 file changed, 1 deletion(-) delete mode 160000 blog diff --git a/blog b/blog deleted file mode 160000 index 5ee468b..0000000 --- a/blog +++ /dev/null @@ -1 +0,0 @@ -Subproject commit 5ee468b794665cab40c2bcd94722905774679ff8