Persistence (Kalıcılık) Teknikleri Nelerdir?

kullanici1

Nisan 10, 2026

Siber Güvenlik

Siber saldırı yaşam döngüsünde ilk erişim yalnızca bir kapı aralamaktır. Gerçek tehdit, saldırganın sistemde kök salarak, yeniden başlatma, parola değişikliği veya kısmi temizlik sonrası bile erişimini sürdürmesi ve tespit edilmeden uzun vadeli hedeflerine ilerlemesidir. “Persistence” (kalıcılık) teknikleri, bu sürecin omurgasını oluşturur. Modern tehdit aktörleri, yalnızca bir zafiyeti sömürmekle kalmaz; aynı zamanda o zafiyeti kapatsa bile geri dönebilecekleri yollar inşa eder. Bu yazıda, kalıcılık mekanizmalarının nasıl çalıştığını, yetkili güvenlik testlerinde nasıl simüle edildiğini, savunma ekiplerinin bu teknikleri nasıl tespit edip temizleyebileceğini ve kurumsal direncin nasıl yapılandırılacağını profesyonel bir perspektifle ele alacağız.

Persistence Nedir ve Neden Geleneksel Testlerden Farklıdır?

Persistence, bir sistem, uygulama veya ağ ortamında yeniden başlatma, yedekleme, kimlik değişikliği veya kısmi müdahale sonrası bile erişimin sürdürülmesini sağlayan teknikler bütünüdür. MITRE ATT&CK çerçevesinde T1053, T1543, T1546, T1547 gibi alt kategorilerde sınıflandırılan bu mekanizmalar, geleneksel zafiyet taramalarından veya tekil penetrasyon testlerinden köklü şekilde ayrışır: 

  • Dinamik ve Süreç Odaklılık: Persistence, statik bir açık bulmak yerine “saldırgan nasıl kalır, nasıl saklanır ve nasıl geri döner?” sorusuna odaklanır. Tespiti, anlık taramalarla değil, davranışsal izleme ve süreç korelasyonu ile mümkündür.   
  • Çok Katmanlı Uygulama Alanı: İşletim sistemi kayıt defterinden firmware seviyesine, kimlik yönetiminden bulut API anahtarlarına kadar geniş bir yelpazede uygulanabilir. Her katman farklı loglama, izleme ve müdahale stratejileri gerektirir. 
  • Düşük İmza, Yüksek Gizlilik: Modern persistence teknikleri, sistemde zaten var olan meşru bileşenleri (Living off the Land) kullanır veya imzasız, bellek içi (memory-only) çalışır. Bu durum, geleneksel antivirüs ve imza tabanlı tespit mekanizmalarını etkisiz hale getirir.   
  • Savunma Olgunluğunun Gerçekçi Validasyonu: Persistence simülasyonları, EDR/XDR alarmlarının, SIEM korelasyon kurallarının, olay müdahale playbook’larının ve kök neden analizi kapasitesinin sahada gerçekten çalışıp çalışmadığını ölçer.
ChatGPT Image 10 Nis 2026 11_44_10
ChatGPT Image 10 Nis 2026 11_44_01

Yaygın Persistence Teknikleri ve Tespit Yaklaşımları

Yetkili güvenlik testlerinde incelenen kalıcılık mekanizmaları, işletim sistemi katmanından kimlik yönetimine kadar geniş bir yelpazede kurgulanır. Temel kategoriler ve tespit stratejileri şunlardır: 

  1. Kayıt Defteri, Başlangıç ve Zamanlama Mekanizmaları: WindowsRegistry (Run, RunOnce, Services), başlangıç klasörleri, Task Scheduler ve Linux cron/systemd timer’ları, saldırganların süreçlerini otomatik başlatmak için en yaygın alanlardır. Tespit: Olay günlükleri (Sysmon, Event ID 4688/4698), kayıt defteri izleme, zamanlanmış görev envanteri ve anomali bazlı süreç analizi ile yapılır. 
  2. Servis, Sürücü ve Bileşen Manipülasyonu:Sahte veya değiştirilmiş sistem servisleri,kernel modül yükleme, DLL hijacking, COM nesne taklidi ve uygulama uzantıları, meşru görünen süreçlerin arkasına saklanmayı sağlar. Tespit: Dijital imza do ğrulama, dosya bütünlük izleme (FIM), uygulama kontrollisteleri (allowlist) ve EDR davranış kuralları ile doğrulanır. 
  3. Kimlik,Tokenve Erişim Yönetimi Üzerinden: Çalınan API anahtarları, yenileme token’ları, backdoor hesaplar, IAM rol manipülasyonu ve yetki zinciri kötüye kullanımı, ağ sınırlarından bağ ımsız kalıcılık sağlar. Tespit: Kmlik yaşam döngüsü izleme, token rotation politikaları, anomali bazlı erişim analizi ve PAM (Privileged Access Management) çözümleri ile yönetilir.
  4. Ağ ve Tünel Tabanlı Kalıcılık:Ters bağlantılar (reverseshells), DNS/HTTP tunnel’leri, proxy konfigü rasyon değişiklikleri ve kalıcı ağ yönlendirmeleri, dış iletişim  kanallarını sürekli açık tutar. Tespit: Ağ akış logları (NetFlow, VPC Flow), egress kısıtlamaları, JA3/SNI fingerprinting ve şifreli trafik analiz araçları ile izlenir. 
  5. Firmware,Bootloaderve Düşük Seviye Kalıcıl ık: UEFI/BIOS modifikasyonları,MBR/VBR overwrite, GRUB manipülasyonu ve donanım gömülü arka kapılar, işletim sistemi yeniden kurulsa bile erişimi sürdüreb ilir. Tespit: Secure Boot, firware attestation, TPM ölçümleri ve donanım tabanlı  bütünlük doğrulama ile salanır.

Yetkili Persistence Testi İçin Uygulama Adımları

Kalıcılık simülasyonları, teknik titizlik kadar operasyonel disiplin ve etik çerçeve gerektirir. Başarılı bir süreç için aşağıdaki adımlar izlenmelidir:

  • Kapsam, İzinler ve Rules of Engagement (RoE) Netleştirilmesi: Test edilecek sistemler, network segmentleri, bulut ortamları ve üçüncü taraf entegrasyonlar haritalanır. Kullanılabilecek teknikler, yasaklı aktiviteler, veri gizliliği şartları ve acil durum durdurma kriterleri yazılı RoE’d e mutabık kalınır.   
  • İzoleTest Ortamı ve Snapshot Mekanizmaları: Tüm simülasyonlar, üretim verisi barın dırmayan, anlık geri yükleme (snapshot) yeteneğine sahip ortamlarda yürütülür. Sistem kararlılığı ve iş sürekliliği riske atılmaz.   
  • MITRE ATT&CK Odaklı Senaryo Kurgusu: T1053 (Scheduled Task/Job), T1543 (Create or Modify System Process), T1546 (Event Triggered Execution), T1547 (Boot or Logon Autostart Execution) gibi teknikler, kurumun risk profiline uygun şekilde kontrollü simüle edilir. Her adım, zaman damgalı ve delil bütünlüğü korunarak kayıt altına alınır.   
  • Algılama ve Müdahale Validasyonu: Simülasyon sırasında EDR alarmları, SIEM korelasyonları, log eksiklikleri, yanlış pozitif/negatif oranları ve SOC yanıt süreleri ölçülür. Tespit kuralları, gerçek davranış verileriyle kalibre edilir.
  • Bulguların İş Etkisiyle Önceliklendirilmesi ve Temizlik: Kalıcılık mekanizmaları, yalnızca teknik şiddete göre değil; yayılma potansiyeli, veri maruziyeti, temizleme zorluğu ve iş kesintisi riski bağlamında derecelendirilir. Düzeltme adımları, sistem bütünlüğünü koruyacak şekilde planlanır ve bağımsız retest ile doğrulanır.   
  • Denetime Hazır Raporlama ve Sürekli İyileştirme: Metodoloji, simülasyon akışı, tespit/müdahale metrikleri, kalıntı analizi ve stratejik öneriler içeren rapor hazırlanır. Bulgular, güvenlik roadmap’ine, log stratejisine ve olay müdahale playbook’larına entegre edilir.

Savunma Ekosistemini Güçlendirmek İçin Temel Stratejiler

Persistence tehditlerini proaktif şekilde yönetmek, teknik kontrollerin ötesinde mimari disiplin ve sürekli izleme kültürü gerektirir: 

  • Uygulama Kontrolü ve Allowlist Politikaları: Bilinmeyen veya imzasız süreçlerin çalıştırılması varsayılan olarak engellenmeli, yalnızca doğrulanmış uygulamalar ve kütüphaneler sisteme yüklenmelidir.   
  • Detaylı Loglama ve Merkezi İzleme: Sysmon, PowerShell transcript logging, AMSI entegrasyonu ve süreç başlatma logları merkezi bir SIEM platformunda toplanmalı; anomali bazlı korelasyon kuralları sürekli güncellenmelidir.
  • Kimlik ve Erişim Yönetiminde Sıfır Güven (Zero Trust): Tüm erişim talepleri, konumdan bağımsız olarak kimlik, cihaz sağlığı ve bağlam doğrulamasından geçmeli; just-in-time erişim ve privilege access management (PAM) ile yetki kötüye kullanımı riski minimize edilmelidir.   
  • Firmware ve Önyükleme Güvenliği: Secure Boot, TPM tabanlı ölçümler, firmware imza doğrulama ve donanım attestation mekanizmaları aktif edilmeli; düşük seviye manipülasyonlar proaktif şekilde engellenmelidir.   
  • Proaktif Tehdit Avcılığı (Threat Hunting): Alarm beklemek yerine, hipotez odaklı hunting süreçleri ile gizli persistence izleri (registry değişiklikleri, şüpheli zamanlanmış görevler, anormal egress trafiği) düzenli olarak aranmalı ve MITRE ATT&CK güncellemeleriyle senkronize edilmelidir.
Tags :
BlueTeam,PersistenceTeknikleri,TehditAvcılığı
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.