Blocklist'lerin Ötesinde Zararlı Bağlantı İstihbaratı

Statik Blocklist'ler Ekiplerin Düşündüğünden Daha Hızlı Eskir

Zararlı bağlantı savunması tarihsel olarak büyük ölçüde blocklist mantığına dayandı. Bu feed'ler hâlâ değer taşıyor; ama modern phishing teslimat altyapısına karşı yapısal olarak yetersiz. Tehdit aktörleri domain'leri, redirect zincirlerini, TLS sertifikalarını ve hosting sağlayıcılarını, bireysel exact-match kayıtlarını saatler içinde eskitecek bir hızla döndürüyor. Tek bir blocklist girişi bir kampanyayı tüm operasyonel ömrü boyunca nadiren kapsıyor.

IOC Türü Sınıflandırması: Göstergeden Tespit Yaklaşımına

Zararlı bağlantı istihbaratı tek tip bir feed değil; her biri farklı bir tespit yaklaşımı gerektiren dört gösterge sınıfına yayılır:

| IOC Türü | Örnek | Tespit Yaklaşımı | Raf Ömrü |

|----------|-------|-----------------|----------|

| IP Adresi | 185.220.101.x | İtibar sorgusu, ASN analizi | Saatler ile günler |

| Domain | giris-guvenlik-dogrula[.]com | WHOIS yaşı, registrar parmak izi, DGA skoru | Saatler ile haftalar |

| URL | https://zarar[.]com/yon?url=... | Yol deseni, redirect zinciri analizi | Dakikalar ile saatler |

| Dosya Hash'i | URL üzerinden düşürülen payload SHA-256'sı | Statik eşleme, bulanık hash | Aylar (en kararlı) |

Gerçek hayatta zararlı bağlantı istihbaratı feed girişinin nasıl göründüğüne somut bir örnek:

{
  "url": "https://guvenli-auth-dogrula[.]net/giris/oauth2",
  "ilk_gorulen": "2026-03-07T04:12:00Z",
  "son_gorulen": "2026-03-07T09:44:00Z",
  "etiketler": ["phishing", "kimlik-hasadi", "fast-flux"],
  "hosting_asn": "AS209588",
  "sertifika_veren": "Let's Encrypt",
  "redirect_zincir_derinligi": 3,
  "kampanya_kumesi": "APT-PHISH-2026-03-A",
  "guven_skoru": 0.91
}

Bu girişin yalnızca URL metnini değil — ASN, sertifika veren kuruluş, redirect derinliği, kampanya kümesi gibi altyapı bağlamını taşıdığına dikkat edin. Bu çevre verisi, savunmacıların tek dönen domain'i değil tüm kampanya kümesini engellemesini mümkün kılar.

URL İstihbaratını Değerli Yapan Şey Nedir?

Zararlı bağlantı istihbaratının sinyal değeri bağlantı metninin kendisinde değil, çevresindeki altyapı bağlamında yatıyor:

kampanyalar genelinde domain yeniden kullanımı ve paylaşılan kayıt kalıpları.

fast-flux veya atlama zinciri teslimatına işaret eden anormal redirect zinciri davranışları.

birden fazla zararlı domain genelinde paylaşılan hosting izleri ve ASN kalıpları.

sertifika yayınlama anormallikleri ve şüpheli kayıt zamanlaması.

bilinen aktif kampanyalar veya tehdit aktörü faaliyet pencereleriyle ilişkilendirilen teslimat zamanlaması.

Bu bağlamsal katman zenginleştikçe savunmacılar, tek bir domain rotasyonuyla aşılabilen kırılgan exact-match blocklist girişlerine olan bağımlılıklarını kademeli olarak kırar.

Hız Neden Bu Kadar Kritik?

Zararlı bağlantı istihbaratı, tehdit verisi kategorileri arasında en çabuk bayatlayanlardan biri. Zararlı bir domain, operatör onu terk etmeden önce yalnızca birkaç saatlik bir pencere içinde işlevini yerine getirebilir. Bu zaman hassasiyeti, feed'lerin nasıl tasarlanacağını ve tüketileceğini köklü biçimde değiştiriyor. Yavaş enrichment pipeline'ları yüksek kaliteli, eyleme geçirilebilir istihbaratı ihtiyaç duyan kontrollere ulaşmadan eskimiş tarihsel veriye dönüştürüyor.

MyVuln Yaklaşımı

MyVuln, zararlı bağlantı istihbaratı kontrol edilecek düz bir denylist olarak değil, kampanya düzeyinde bağlam olarak ele alındığında çok daha anlamlı hale gelir. Platformun URL veri tabanı, domain ilişkilerini, redirect altyapısı topolojisini ve belirli kullanıcılara veya iç varlıklara maruziyeti birleşik bir görünümde sunuyor; bu da savunmacıların filtreleme ve engelleme kararlarını daha hızlı ve çok daha fazla güvenle vermesini sağlıyor.

Zararlı bağlantı istihbaratını yalnızca "bu alan adı kötü mü?" sorusuna indirgediğinizde analizin büyük bölümünü kaybedersiniz. Günümüz saldırganları tek bir domain'e yatırım yapmıyor; birkaç saat yaşayan kısa ömürlü domain'ler, hızlı yönlendirme zincirleri (redirect chain), aynı TLS sertifikasını veya aynı hosting altyapısını yeniden kullanan kümeler ve farklı URL'lerle başlayan ama aynı credential harvesting sayfasına çıkan varyasyonlar üzerinden operasyon yürütüyor. Bu nedenle değerli istihbarat bağlantının karakter dizisinden çok davranışına ve altyapı ilişkilerine odaklanır.

Somut bir kampanya pivot örneği şunu gösteriyor — isimleri itibarıyla birbirinden bağımsız görünen üç domain:

login-secure-update[.]com   (tescil: 01.11.2024)
account-verify-now[.]net    (tescil: 03.11.2024)
portal-session-check[.]org  (tescil: 05.11.2024)

Üçü de aynı TLS sertifika Organization alanını, aynı credential harvesting HTML şablonu parmak izini ve aynı son yönlendirme uç noktasını paylaşıyor. Blocklist ilkini yakıldığında yakalıyor; kampanya düzeyinde analiz ikincisini ve üçüncüsünü kullanılmadan önce tanımlıyor.

Savunma tarafında bu ayrım kritiktir: blocklist dünkü göstergeyi yakalar; kampanya istihbaratı ise yarınki varyasyonu tahmin etmeye başlar. Kullanıcı tıklamadan önce risk kararı verebilmek için hızlı reputation değerlendirmesi gereklidir; ama kampanyayı gerçekten çökertmek için tarihsel altyapı bilgisi ve ilişki grafiği şarttır. Hangi domain'ler ortak bir TLS parmak izi paylaşıyor? Hangi kısa ömürlü bağlantılar aynı credential harvesting şablonunu kullanıyor? Hangi redirect zincirleri aynı son noktaya bağlanıyor? Bu ilişkisel sorular, herhangi bir tekil IOC'den çok daha büyük savunma kaldıracı sağlar.

Operasyonel iş akışında bu verinin nasıl sunulduğu da en az kalitesi kadar önemlidir. Analist binary bir "zararlı" sonucundan fazlasına ihtiyaç duyar. Bu kararın dayandığı kanıt, kampanya ilişkisi, URL'yi karşılaşan kullanıcı kitlesi, geçmişte benzer örneklerin görülüp görülmediği ve e-posta geçidi, web proxy ya da endpoint katmanlarından hangisinin etkili olduğu birlikte görünür olmalıdır. Böylece URL istihbaratı yalnızca blocklist üretmekten çıkıp; kullanıcı farkındalık programlarını, olay müdahale süreçlerini ve proaktif tehdit avını besleyen sürekli bir tehdit fotoğrafına dönüşür.