AV/EDR Atlama Yöntemleri Nelerdir?

kullanici1

Nisan 10, 2026

Siber Güvenlik

Uç nokta güvenliği, modern siber savunma mimarisinin en kritik katmanlarından biri haline geldi. Antivirüs (AV) ve Uç Nokta Tespit ve Müdahale (EDR) çözümleri, imza tabanlı taramadan davranışsal analizlere, bulut korelasyonundan yapay zeka destekli anomali tespitine kadar geniş bir yelpazede çalışarak tehditleri engellemeyi hedefliyor. Ancak saldırganlar da bu savunma katmanlarını aşmak için sürekli gelişen, sistemli ve genellikle düşük imza bırakan teknikler geliştiriyor. AV/EDR atlama (evasion), yalnızca “kötü amaçlı yazılımı gizlemek” değil; tespit mekanizmalarının algılama mantığını, log toplama süreçlerini ve davranış izleme yeteneğini sistematik şekilde devre dışı bırakmayı hedefleyen bir mühendislik disiplinidir. Bu yazıda, uç nokta tespit sistemlerini atlatma yöntemlerinin nasıl çalıştığını, yetkili testlerde nasıl simüle edildiğini ve savunma kapasitesinin nasıl güçlendirileceğini profesyonel bir perspektifle ele alacağız. 

AV/EDR Atlama Nedir ve Neden Geleneksel Zararlı Yazılımlardan Farklıdır?

AV/EDR atlama, saldırganın veya test ekibinin, uç nokta ajanlarının algılama, loglama ve müdahale mekanizmalarını bypass ederek hedef sistemde yürütme, kalıcılık veya veri toplama sürecini sürdürmesini sağlayan teknikler bütünüdür. Geleneksel zararlı yazılım dağıtımından ayrışmasının temel sebepleri şunlardır: 

  • İmza Değil, Davranış ve Telemetri Odaklı Tespit: Modern EDR’ler yalnızca dosya hash’ine bakmaz; süreç zinciri, API çağrıları, bellek erişim kalıpları, ağ davranışı ve bulut korelasyonu üzerinden tehdit skoru üretir. Atlama teknikleri de bu algılama katmanlarını hedef alır. 
  • Sistemde Zaten Var Olan Bileşenlerin Kullanımı: Saldırganlar kendi araçlarını yüklemek yerine, işletim sisteminin meşru yönetim araçlarını (PowerShell, certutil, wmic, rundll32 vb.) kötüye kullanarak “gürültüsüz” ilerlemeyi tercih eder. 
  • Kullanıcı Modu ve Çekirdek Mod Ayrımı: EDR’ler genellikle user-mode API’lerine hook (kanca) ekleyerek davranış izler. Atlama teknikleri bu hook’ları kaldırır (unhooking) veya doğrudan çekirdek modu syscall’larını çağırarak izlenmeyi engeller. 
  • Savunma Olgunluğunun Gerçekçi Validasyonu: “EDR’imiz var” iddiası yerine, “EDR hangi teknikleri algılıyor, hangilerini kaçırıyor, alarm süresi ne kadar, yanlış pozitif oranı nedir?” sorularına nesnel yanıt aranır. 
ChatGPT Image 10 Nis 2026 13_46_36
ChatGPT Image 10 Nis 2026 13_40_32

Yaygın AV/EDR Atlama Teknikleri ve Çalışma Prensipleri

Yetkili güvenlik testlerinde ve gerçek dünya saldırılarında karşılaşılan atlama yöntemleri, genellikle aşağıdaki kategorilerde kurgulanır: 

  1. Obfuscation, Packing ve Polimorfik Teknikler:Kod yapısı şifrelenir, sıkıştırılır veya her çalışmada kendini yeniden yazar. Bu durum, statik analiz ve imza tabanlı tespitleri etkisiz hale getirirken, runtime decryption ile bellekte orijinal hale döner. 
  2. Livingoff the Land (LotL) ve LOLBins Kullanımı: Saldırganlar, sistemde zaten yüklü ve dijital imzalı yönetimsel araçları (PowerShell, mshta, regsvr32, bitsadmin, wscript) kötüye kullanarak kötü amaçlı komutları meşru süreçler içinde çalıştırır. EDR’ler, bu araçların “normal” kullanımını kötü amaçlı olandan ayırmakta zorlanır. 
  3. AMSI ve ETW Atlama: WindowsAntimalware Scan Interface (AMSI) ve Event Tracing for Windows (ETW), PowerShell script’lerini ve sistem olaylarını tarayan kritik izleme arayüzleridir. Bellek seviyesinde bu arayüzlerin fonksiyon pointer’ları değiştirilerek (patching) veya hook’lar kaldırılarak loglama ve tarama devre dışı bırakılabilir. 
  4. EDRUnhookingve Direct Syscall Çağrıları: EDR ajanları, `ntdll.dll` içindeki kritik API’lere user-mode hook’lar yerleştirir. Saldırganlar, bu hook’lu bellek bölgelerini orijinal sistem dosyası ile değiştirir (unhooking) veya doğrudan `syscall`/`Nt` fonksiyonlarını çağırarak EDR’in izleme katmanını tamamen atlar. 
  5. Bellek İçi Çalışma ve Süresiz Enjeksiyon:Dosyayı diske yazmadan, yansıtıcı DLL yükleme (reflectiveloading), process hollowing, thread hijacking veya APC injection gibi tekniklerle süreç belleğinde çalıştırma yapılır. Disk izi kalmadığı için geleneksel tarama ve FIM çözümleri tetiklenmez. 
  6. Çevresel Anahtarlama ve Zamanlama (EnvironmentalKeying):Zararlı kod, sanal makine, sandbox veya analiz ortamı belirteçlerini (RAM boyutu, CPU çekirdek sayısı, belirli registry değerleri, kullanıcı adı) kontrol eder. Ortam “analiz” olarak algılanırsa kod çalışmaz veya sahte davranış sergiler. Gerçek hedefte zaman gecikmesi veya kullanıcı etkileşimi bekleyerek tetiklenir. 
  7. Telemetri Manipülasyonu ve Log Temizleme: WindowsEvent Log, EDR agent logları veya güvenlik araçlarının yerel önbelleği hedeflenir. API hooking, log servis durdurma veya event filtering ile iz silme veya geciktirme sağlanır. Yetkili testlerde bu adımlar genellikle simüle edilir; gerçek veri silme RoE kapsamında yasaktır.

Yetkili AV/EDR Atlama Testi İçin Uygulama Adımları

Uç nokta tespit sistemlerinin bypass edilebilirliğini test etmek, teknik titizlik kadar operasyonel disiplin ve etik çerçeve gerektirir. Başarılı bir süreç için aşağıdaki adımlar izlenmelidir:

  • Kapsam, İzinler ve Rules of Engagement (RoE) Netleştirilmesi: Test edilecek uç noktalar, EDR/AV ürünleri, işletim sistemi sürümleri ve üçüncü taraf entegrasyonlar haritalanır. Kullanılabilecek teknikler, yasaklı aktiviteler, veri gizliliği şartları ve acil durum durdurma kriterleri yazılı RoE’de mutabık kalınır.   
  • İzole Laboratuvar ve Telemetri Toplama Altyapısı: Tüm simülasyonlar, üretim verisi barındırmayan, anlık geri yükleme (snapshot) yeteneğine sahip ortamlarda yürütülür. EDR konsolu, SIEM, Sysmon, ETW logları ve ağ akış verileri merkezi olarak toplanır.   
  • Teknik Eşleştirme ve Senaryo Kurgusu: MITRE ATT&CK (T1562, T1620, T1055, T1106, T1027 gibi) ve EDR evasion framework’leri referans alınarak, kurumun risk profiline uygun atlama senaryoları kademeli olarak tasarlanır. Her teknik, tekrarlanabilir ve dokümante edilmiş script’lerle yürütülür.   
  • Algılama Validasyonu ve Metrik Ölçümü: Simülasyon sırasında EDR alarmları, telemetri eksiklikleri, tespit süreleri, yanlış pozitif oranları ve SOC yanıt akışı kaydedilir. Tespit kuralları, gerçek davranış verileriyle kalibre edilir.   
  • Bulguların İş Etkisiyle Önceliklendirilmesi ve İyileştirme: Atlama teknikleri, yalnızca teknik başarı oranına göre değil; algılanmama süresi, yayılma potansiyeli, temizleme zorluğu ve iş kesintisi riski bağlamında derecelendirilir. Düzeltici faaliyetler (kural güncelleme, ajan yapılandırması, telemetri zenginleştirme) planlanır.   
  • Retest, Dokümantasyon ve Sürekli Validasyon Döngüsü: Tüm iyileştirmeler bağımsız yeniden test ile doğrulanır. Metodoloji, senaryo akışı, tespit/müdahale metrikleri ve remediation kanıtları denetime hazır formatta raporlanır. Bulgular, BAS (Breach and Attack Simulation) araçlarına ve Purple Team süreçlerine entegre edilerek sürekli test döngüsü kurulur. 

Başlık Metninizi Buraya Ekleyin

AV/EDR atlama tekniklerini anlamak, savunma katmanlarını proaktif şekilde güçlendirmenin ilk adımıdır. Kurumların benimsemesi gereken stratejik yaklaşımlar şunlardır: 

  • Davranışsal Analiz ve Telemetri Zenginleştirme: Statik kurallar yerine, süreç zinciri, parent-child ilişkisi, bellek erişim kalıpları ve ağ davranışı bazlı UEBA modelleri kurulmalıdır. Sysmon, PowerShell transcript logging, AMSI ve ETW logları merkezi SIEM’e aktarılmalıdır.   
  • EDR Hardening ve Ajan Bütünlüğü Kontrolleri: EDR servisleri, kernel driver’ları ve iletişim kanalları şifrelenmeli, ajan kendini koruma (self-defense) modu aktif edilmeli, yetkisiz süreç durdurma veya konfigürasyon değişikliği engellenmelidir.   
  • Uygulama Kontrolü ve Allowlist Politikaları: Bilinmeyen veya imzasız süreçlerin çalıştırılması varsayılan olarak engellenmeli, yalnızca doğrulanmış uygulamalar ve kütüphaneler sisteme yüklenmelidir. LOLBins kullanımı için kısıtlayıcı policy’ler uygulanmalıdır.   
  • Sıfır Güven (Zero Trust) ve Mikrosegmentasyon: Tüm erişim talepleri, konumdan bağımsız olarak kimlik, cihaz sağlığı ve bağlam doğrulamasından  geçmeli; uç nokta seviyesinde ağ izolasyonu ve egress kısıtlamaları uygulanmalıdır.   
  • Proaktif Tehdit Avcılığı ve Sürekli Validasyon: Alarm beklemek  yerine, hipotez odaklı threat hunting süreçleri ile gizli bypass izleri (unhooked DLL’ler, direct syscall çağrıları, anormal bellek enjeksiyonları) düzenli olarak aranmalı. BAS ve Purple Team süreçleri ile algılama kapasitesi sürekli test edilmelidir.   
  • Log Bütünlüğü ve Değiştirilemez Depolama: Uç nokta ve güvenlik logları, merkezi ve immutable storage üzerinde saklanmalı, log temizleme veya servis durdurma girişimleri otomatik alarm üretmelidir.

Sonuç

AV/EDR atlama teknikleri, siber güvenliğin kaçınılmaz bir gerçeğidir. Tespit sistemleri ne kadar gelişmiş olursa olsun, saldırganlar algılama mantığını anlamak ve bypass etmek için sürekli evrilen yöntemler geliştirecektir. Bu dinamik yapıda savunmanın gücü, “hiçbir şeyi kaçırmamak” iddiasında değil; atlama girişimlerini ne kadar sürede görebildiği, telemetriyi ne kadar zengin tuttuğu ve müdahaleyi ne kadar hızla organize edebildiğinde yatar. Yetkili AV/EDR validasyonları, bu kapasiteyi ölçmenin, kör noktaları kapatmanın ve savunma mimarisini gerçek tehdit dinamiklerine göre kalibre etmenin en güvenilir yoludur. Doğru yapılandırma, sürekli izleme ve disiplinli test kültürüyle kurgulanan bir uç nokta ekosistemi, atlama iddiasını en güçlü şekilde çürütür ve dijital altyapıların gerçek dünya tehditlerine karşı direncini sürdürülebilir kılar. Güvenlik, tespit sistemlerine körü körüne güvenmek değil; onların sınırlarını bilmek, test etmek ve her atlamada bir adım önde kalmaktır. 

Tags :
#UçNoktaGüvenliği,EDRBypass,EvasionTeknikleri
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.