The Bellisan Protocol™ - Phase 2: Bulut Altyapısı Adli Tıbbı (Cloud Forensics) & Gelişmiş E-Posta Header/Kural Rekonstrüksiyonu

Bu vakanın çözülmesinde ve savunmanın "dışarıdan hacklenme" iddialarının çürütülmesinde, Bellisan Protokolü'nün 2. Fazında yer alan 4 aşamalı siber-tıbbi operasyon uygulanmıştır:

1. Aşama: Cloud Tenant & Ephemeral Log Acquisition (Bulut Günlüklerinin Güvenceye Alınması)

Geleneksel bilirkişilerin yaptığı gibi sadece yerel disk (Hard Drive) imajı almakla yetinilmemiş, siber delillerin bulutta silinme/rotasyon riski (Log retention limits) göz önüne alınarak Microsoft Purview ve Azure Entra ID üzerinden adli veri çekimi başlatılmıştır.

Unified Audit Log (UAL): Şirketin tüm Microsoft 365 organizasyonuna ait son 90 günlük ham denetim günlükleri, kriptografik bütünlüğü korunarak (API tabanlı TLS 1.3 tünellemesiyle) adli depolama alanına aktarılmıştır.

Sign-in Logs Export: Muhasebe müdürünün hesabına ait son 30 günlük başarılı ve başarısız tüm oturum açma istekleri, tarayıcı bilgileri (User-Agent strings), kullanılan cihaz kimlikleri (Device IDs) ve konum verileriyle birlikte JSON formatında dump edilmiştir.

2. Aşama: Kriptografik Zaman Çizelgesi Yeniden Yapılandırması (Timeline Reconstruction)

Toplanan ham günlükler üzerinde Bellisan Protokolü'nün siber kronoloji algoritması koşturulmuştur.

Saldırganın Lagos/Nijerya (102.89.23.4) IP'sinden girdiği an (Oturum Açma Zamanı: 2026-05-12 14:22:18.104 UTC) ile muhasebe müdürünün İstanbul'daki ofisinden aktif çalıştığı zaman dilimi üst üste bindirilmiş (Cross-Timeline Analysis); sistemin aynı milisaniyede iki farklı kıtadan "imkansız seyahat" (Impossible Travel Anomaly) ürettiği adli olarak belgelenmiştir.

3. Aşama: Sinsi Posta Kutusu Kurallarının Avlanması (Malicious Inbox Rule Forensics)

Saldırganların izlerini gizlemek için kullandığı en sinsi yöntem olan "Gelen Kutusu Yönlendirmeleri", Exchange PowerShell adli modülleriyle taranmıştır.

Get-MailboxAuditLog ve Get-InboxRule komut setleri konteyner içinden güvenli tünelle çalıştırılarak, saldırganın oturum açtıktan tam 4 dakika sonra (14:26:02 UTC) “Invoice_Hide_Rule” isimli gizli bir kural yarattığı ortaya çıkarılmıştır.

Bu kuralın; gelen maillerde "IBAN, Bank, Swift, Fatura, Payment" kelimelerini taradığı, eşleşen mailleri kullanıcının görmemesi için anında Gereksiz (RSS Feeds) klasörüne taşıdığı ve MarkAsRead (Okundu işaretle) komutuyla muhasebecinin ekranında bildirim çıkmasını engellediği siber kanıtlarıyla mühürlenmiştir.

4. Aşama: E-Posta Header (Üstbilgi) Kriminolojisi & PDF Metadata Analizi

İngiliz alıcı firmaya gönderilen manipüle edilmiş faturanın ve e-postanın kaynağı adli tıp süzgecinden geçirilmiştir.

Header Analizi: Gönderilen mailin DKIM-Signature ve ARC (Authenticated Received Chain) kayıtları incelenmiş, mailin sahte bir sunucudan (Spoofing) değil, doğrudan müşteki şirketin yasal M365 sunucusundan (Auth-IP onaylı) çıktığı doğrulanmıştır. Bu bulgu, sızıntının "karşı tarafta değil, müşteki şirketin kendi içinde" olduğunu şüpheye yer bırakmayasız ispatlamıştır.

PDF Adli Analizi: Sahte faturanın (PDF) metadatası incelendiğinde, orijinal faturanın 2026-05-14 09:00'da oluşturulduğu, ancak 10:15'te bir PDF editörü (illegally modified) ile açılıp sadece IBAN hanelerinin değiştirilerek aynı sunucudan tekrar İngiliz firmaya Reply (Yanıtla) olarak fırlatıldığı imza hash'leriyle (MD5/SHA256 diferansiyel analizi) rapora eklenmiştir.