https://www.fatihyildirim.tr  
  FortiGate: Özel İmza yazmak 
  Anti Virus
  Yöntem 1: Dosya Hash Değeri ile Engelleme (CRC32)
  Yöntem 2: İçerik (Pattern) Eşleştirme
  Yöntem 3: External Malware Block List (Hash Listesi)
  FortiGate: IPS_AV_İmza_Oluşturucu Program açıklaması
 
        FortiGate: Writing a custom signature
  Son Güncelleme: 29.05.2026  r.01.02 /FortiGate: IPS_AV_İmza_Oluşturucu   Program açıklaması
 
 
  FortiGate'te antivirus için özel imza (signature) yazmak, IPS (Intrusion Prevention System) custom signature altyapısı kullanılarak yapılır. Bunun iki temel yöntemi vardır: dosya hash'i ile engelleme veya içerik(pattern) eşleştirme.
 
  Yöntem 1: Dosya Hash Değeri ile Engelleme (CRC32)
  Bu yöntem, belirli bir dosyanın tam hash değerini bildiğinizde o dosyayı tamamen engellemenizi sağlar.
  Temel sözdizimi:
 
  F-SBID( --name "Imza_Adi"; --protocol tcp; --crc32 HASH_CRC32,DOSYA_UZUNLUGU; )
  Protocol : Seçilen seçenekle eşleştirilen değer için IP/ICMP/UDP/TCP protokol başlıklarını inceleme seçenekleri.
 
  Gerçek dünya örneği: Hash değeri 51480492 ve dosya boyutu 822 bayt olan bir dosyayı engellemek için:
 
  F-SBID( --name "File.Hash.Example"; --protocol tcp; --crc32 51480492,822; )
 
  Bu imza yalnızca TCP trafiğini kontrol eder ve belirtilen hash'e sahip dosyayı tespit ettiğinde engeller.
 
  Yöntem 2: İçerik (Pattern) Eşleştirme
  Dosya içindeki belirli bir metin veya hex desenini aramak için --pattern parametresi kullanılır.
  Temel sözdizimi:
 
  F-SBID( --name "Zararli_Icerik"; --protocol tcp; --flow from_client; --pattern "aranacak_metin"; --no_case; )
 
  Örnek: İçinde "nude cheerleader" geçen paketleri engellemek için:
 
  F-SBID ( --protocol tcp; --flow established; --pattern "nude cheerleader"; --no_case; )
 
  Yöntem 3: External Malware Block List (Hash Listesi)
  Çok sayıda dosya hash'ini (MD5, SHA1, SHA256) engellemek için harici bir liste kullanabilirsiniz. Bu yöntem, imzaları tek tek tanımlamaktan daha pratiktir.
  📍 Harici kötü amaçlı yazılım engelleme listesi (External Malware Block List), hem proxy tabanlı (proxy-based)hem de akış tabanlı (flow-based) politika denetimlerinde kullanılabilir, ancak AV hızlı tarama modunda desteklenmez.
 
  Hash listesi formatı:
  📍 Kötü amaçlı yazılım karma listesi, içeriğinin geçerli olması için katı bir biçime uymalıdır. Kötü amaçlı yazılım karma imza girdileri her satırda ayrı ayrı yer almalıdır. Geçerli bir imza şu biçime uymalıdır:
  text
  # MD5 formatı
  aa67243f746e5d76f68ec809355ec234  md5_sample1
 
  # SHA1 formatı
  a57983cb39e25ab80d7d3dc05695dd0ee0e49766  sha1_sample2
 
  # SHA256 formatı
  ae9bc0b4c5639d977d720e4271da06b50f7c60d1e2070e9c75cc59ab30e49379  sha256_sample1
 
  FortiGate: IPS_AV_İmza_Oluşturucu
  https://www.fatihyildirim.tr/SiberGuvenlik/CS_FG_IPS_Signature_Yazma_AV_MD5_Dosya.html
 
  1. MD5 Hash İşlemleri
  Dosyadan MD5 hesaplama - Gerçek dosya yükleyip hash çıkarma
  Metinden MD5 hesaplama - String değerlerin hash'ini alma
  MD5 format doğrulama - Otomatik geçerlilik kontrolü
 
  2. Çoklu Sekme Arayüzü
  Tek İmza Oluştur - Detaylı parametrelerle imza oluşturma
  Toplu İmza Oluştur - CSV formatında toplu hash işleme
  Malware Hash Database - Hazır zararlı yazılım veritabanı
  Hash Analiz ve Doğrulama - MD5 analiz ve VirusTotal entegrasyonu
  Toplu İhraç / Import - Farklı formatlarda dışa/içe aktarma
 
  3. Gelişmiş Güvenlik Parametreleri
  Severity seviyeleri (Critical, High, Medium, Low)
  Aksiyon seçenekleri (Block, Alert, Quarantine, Log, Reset)
  Log seviyeleri (Traffic, Packet, Capture)
  Replace file - Dosyayı null byte ile değiştir
 
  4. Malware Veritabanı
  Hazır zararlı yazılım imzaları (WannaCry, Zeus, Emotet, Conficker, Locky, Dridex)
  Arama ve filtreleme özelliği
  Veritabanı yönetimi (Ekleme, silme, düzenleme)
  LocalStorage ile kalıcı depolama
 
  5. Entegrasyon Özellikleri
  VirusTotal entegrasyonu - Hash'leri çevrimiçi analiz etme
  CLI komutu üretme - Direkt FortiGate deployment
  Deployment script oluşturma - Otomatik kurulum script'i
  Whitelist yönetimi - Yanlış pozitifleri engelleme
 
  6. Toplu İşlemler
  Batch signature generation - CSV/JSON formatında toplu işlem
  VirusTotal örnekleri - Hazır test verileri
  Progress bar - Toplu işlemlerde ilerleme göstergesi
  Multiple export formats (FortiGate, CSV, JSON, CLI)
 
  📋 Kullanım Senaryoları:
  1. Kurumsal Güvenlik - Bilinen malware hash'lerini engelleme
  2. Zero-Day Tespiti - Yeni keşfedilen zararlıları hızlıca engelleme
  3. Uyumluluk - GDPR, HIPAA gibi düzenlemeler için dosya kontrolü
  4. Forensic Analiz - Hash karşılaştırma ve doğrulama
  5. OT/Güvenlik - Endüstriyel kontrol sistemlerinde zararlı yazılım engelleme
 
  🔧 FortiGate Deployment:
 
bash
  # 1. İmzaları oluşturun ve .txt olarak kaydedin
  # 2. FortiGate'e SSH ile bağlanın
  # 3. İmzaları import edin:
  execute ips custom-signature import malware_md5.txt
 
  # 4. IPS sensörüne ekleyin:
  config ips sensor
      edit "default"
          config entries
              edit 1
                  set rule "WannaCry_Ransomware_MD5_Block"
                  set action block
              next
          end
      next
  end
 
  # 5. IPS engine'i reload edin:
  execute ips engine reload
  Bu MD5 tabanlı sistem, CRC32'den çok daha güvenlidir ve enterprise seviyesinde güvenlik gereksinimlerini karşılar. Hash çakışması olasılığı milyarda birden azdır!
 
  Uygulama adımları:
  1. Hash listesini bir web sunucusuna yükleyin
  2. Security Fabric > External Connectors yolunda "Malware Hash" connector'ı oluşturun
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  3. Security Profiles > AntiVirus profilinizde "Use external malware block list" seçeneğini etkinleştirin
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  CLI ile Custom Signature Ekleme
  Tüm custom signature'lar IPS custom yapılandırması altında tanımlanır:
         
  # config ips custom              
      edit "Zararli_Dosya_Imzasi"            
          set signature "F-SBID( --name 'Zararli_Dosya_Imzasi'; --protocol tcp; --crc32 51480492,822; )"
          set severity high              
          set action block              
          set log enable              
      next                
  end        
 
  Kullanılabilir parametreler:
 
Parametre
 Açıklama Seçenekler
  severity Önem derecesi info, low, medium, high, critical
  action Eşleşme durumunda yapılacak işlem pass, block
  log Log kaydı tutma enable, disable
  location Korunacak sistem tipi client, server
  os Hedef işletim sistemi windows, linux, macos, vb.
 
  İmzayı Aktif Hale Getirme
  Custom signature oluşturduktan sonra kullanıma almak için:
  1. IPS Sensor oluşturun veya düzenleyin (Security Profiles > Intrusion Prevention)
  2. Custom signature'ı sensöre ekleyin ve aksiyonunu Block olarak ayarlayın
  3. Firewall Policy içinde bu IPS sensor'ünü aktifleştirin
 
  📍 Önemli Uyarılar
  1. SSL Trafiği: Şifreli HTTPS trafiğindeki zararlıları tespit etmek için SSL Deep Inspection açık olmalıdır
  2. Performans: Birden fazla hash tipini (MD5 + SHA1 + SHA256) aynı anda kullanmak performansı düşürebilir. Tek tip hash kullanmanız önerilir
  3. Regex Desteği: Standart --pattern regex desteklemez, düz metin eşlemesi yapar