PowerShell Fileless Malware Teknikleri Nelerdir?

kullanici1

Mart 27, 2026

Siber Güvenlik

Modern siber saldırılar giderek daha gelişmiş hale gelmektedir. Geleneksel zararlı yazılımlar genellikle diske kaydedilen dosyalar aracılığıyla çalışırken, son yıllarda saldırganlar fileless malware (dosyasız zararlı yazılım) tekniklerini daha sık kullanmaya başlamıştır. 

Fileless malware saldırıları, sistem üzerinde kalıcı bir dosya bırakmadan çalışarak güvenlik yazılımlarından kaçmayı hedefler. Bu saldırılarda sık kullanılan araçlardan biri PowerShell’dir. PowerShell, Windows işletim sistemlerinde bulunan güçlü bir komut satırı ve otomasyon aracıdır. 

Saldırganlar PowerShell’in sunduğu yetenekleri kullanarak zararlı komutları bellekte çalıştırabilir, ağ üzerinden veri indirebilir ve sistem üzerinde farklı işlemler gerçekleştirebilir. Bu durum PowerShell tabanlı saldırıların tespit edilmesini zorlaştırabilir. 

Bu nedenle PowerShell fileless malware tekniklerinin anlaşılması modern siber güvenlik açısından önemli bir konudur.

PowerShell Nedir?

PowerShell, Windows işletim sistemi için geliştirilmiş gelişmiş bir komut satırı ve otomasyon ortamıdır. Sistem yöneticileri tarafından sistem yönetimi, yapılandırma ve otomasyon işlemlerinde yaygın olarak kullanılır. 

PowerShell’in bazı önemli özellikleri şunlardır:

  • sistem yönetimi için geniş komut seti 
  • script yazma ve otomasyon yetenekleri 
  • .NET framework ile entegrasyon 
  • uzaktan yönetim desteği 

Bu güçlü özellikler PowerShell’i hem sistem yöneticileri hem de saldırganlar için cazip bir araç haline getirmiştir.

CTI
data_visual_3

Fileless Malware Nedir?

Fileless malware, zararlı kodların sistem diskine kaydedilmeden çalıştırıldığı saldırı türlerini ifade eder. Bu saldırılar genellikle sistem belleğini kullanarak çalışır. 

Fileless saldırılar şu avantajlara sahiptir:

  • antivirüs yazılımlarından kaçınma 
  • sistemde daha az iz bırakma 
  • hızlı ve geçici çalışma imkanı 

Bu nedenle fileless malware teknikleri modern saldırı kampanyalarında sıklıkla kullanılmaktadır.

PowerShell Tabanlı Fileless Saldırı Teknikleri

PowerShell kullanılarak gerçekleştirilen fileless saldırılar çeşitli teknikler içerebilir. 

  • Memory Execution : Saldırganlar zararlı kodları doğrudan sistem belleğinde çalıştırabilir. Bu yöntemde zararlı script diske yazılmadan yürütülür. Bu teknik sayesinde geleneksel antivirüs yazılımlarının tespit mekanizmaları atlatılabilir. 
  • Encoded PowerShell Komutları: PowerShell komutları Base64 gibi yöntemlerle kodlanarak çalıştırılabilir. Bu durum zararlı komutların analiz edilmesini zorlaştırır. Encoded komutlar genellikle şu parametre ile çalıştırılır: “powershell -encodedCommand”.Bu yöntem saldırganların zararlı komutları gizlemesine yardımcı olur. 
  • Remote Script Execution : Saldırganlar PowerShell kullanarak internet üzerinden zararlı script indirebilir ve doğrudan çalıştırabilir.Örneğin PowerShell komutları ile uzak bir sunucudan script indirilebilir ve çalıştırılabilir. Bu yöntem saldırganların sistemde dosya bırakmadan işlem yapmasını sağlar. 
  • Living off the Land Teknikleri : PowerShell saldırıları genellikle Living off the Land yaklaşımıyla gerçekleştirilir. Bu yaklaşımda saldırganlar sistemde zaten bulunan araçları kullanır.PowerShell bu araçların en yaygın olanlarından biridir. Bu nedenle bu tür saldırılar güvenlik sistemleri tarafından normal sistem aktiviteleri ile karıştırılabilir.

PowerShell Fileless Malware Tespiti

PowerShell tabanlı fileless saldırıları tespit etmek için çeşitli yöntemler kullanılabilir. 

  • Script Logging : PowerShell script aktivitelerinin kayıt altına alınması şüpheli komutların tespit edilmesini sağlayabilir. 
  • Behavior Analysis (Davranış Analizi) : Şüpheli davranışların analiz edilmesi saldırıların erken aşamada tespit edilmesine yardımcı olabilir. 
  • Endpoint Detection and Response (EDR) (Uç Nokta Algılama ve Yanıt) : EDR çözümleri sistem belleğinde çalışan zararlı aktiviteleri analiz edebilir. 
  • Network Monitoring (Ağ İzleme): Şüpheli ağ bağlantılarının izlenmesi uzak script indirme faaliyetlerini ortaya çıkarabilir. 

PowerShell Güvenliğini Artırma Yöntemleri

PowerShell tabanlı saldırılara karşı bazı güvenlik önlemleri uygulanabilir.

  • Execution Policy (Yürütme/Çalıştırma Politikası): PowerShell scriptlerinin çalıştırılmasını sınırlayan politikalar kullanılabilir. 
  • Constrained Language Mode (Kısıtlı Dil Modu): PowerShell’in bazı gelişmiş özelliklerini sınırlandırarak güvenlik artırılabilir. 
  • Application Whitelisting (Uygulama Beyaz Listeye Alma / Uygulama İzin Listesi): Yalnızca güvenilir uygulamaların çalıştırılmasına izin verilmesi saldırıları zorlaştırabilir. 
  • PowerShell Logging: PowerShell aktivitelerinin kayıt altına alınması saldırıların analiz edilmesini kolaylaştırır.

Sonuç

PowerShell fileless malware teknikleri modern siber saldırıların önemli bir parçası haline gelmiştir. Saldırganlar PowerShell’in güçlü özelliklerini kullanarak sistem üzerinde dosya bırakmadan zararlı işlemler gerçekleştirebilir. 

Bu tür saldırılar geleneksel güvenlik araçları tarafından tespit edilmesi zor olduğu için güvenlik ekiplerinin davranış analizi, log izleme ve gelişmiş güvenlik çözümleri kullanması büyük önem taşır. 

PowerShell’in doğru şekilde yapılandırılması ve güvenlik kontrollerinin uygulanması, fileless malware saldırılarının etkisini önemli ölçüde azaltabilir.

Tags :
BellekAnalizi,FilelessMalware,PowerShellSecurity
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.