Büyükşehir belediyesinde 14 ay süren APT sızıntısının tespiti ve temizliği
Bir büyükşehir belediyesinin sistemlerinde 14 ay boyunca aktif kalan APT grubu DSET threat hunting ekibi tarafından tespit edildi. Mali işler · arşiv · çöp yönetim verileri eksfiltre edilmişti. USOM koordinasyonu ile kapsamlı temizlik.
01 Karşılaşılan Durum
Belediyenin SIEM sistemi anormal C2 trafiği uyarıları veriyordu ama 'iç IT olabilir' diye geçiştirilmişti. DSET threat hunting devreye girdiğinde APT grubunun 14 aydır içeride olduğu anlaşıldı. Başlangıç: çöp toplama yönetim sistemi (zayıf parolalı bir kullanıcı). Sonra: mali işler · personel sicili · arşiv. Toplam ~340 GB veri eksfiltre edilmişti.
02 DSET'in Yaklaşımı
MITRE ATT&CK eşleştirme
C2 trafik desenleri APT28 (Fancy Bear) TTPs ile uyumluydu. Kullanılan custom backdoor 'X-Agent' türevi olarak tespit edildi.
Threat hunting
Memory forensics + endpoint trace analizi ile 47 farklı host'ta kalıcı varlık tespit edildi. Sistem servisi gibi gizlenmiş processes.
Tıkanma noktası
Saldırgan C2 sunucusuyla bağlantıyı kesmemek için yavaş veri sızdırıyordu. DNS tunnel + image içine gizlenmiş eksfiltrasyon kanalı tespit.
USOM koordinasyon
USOM ile IoC paylaşımı · C2 IP'lerin Türkiye genelinde bloklanması · ilgili kamu kurumlarına proaktif uyarı.