Üst sınıf hukuk bürosunda DNS tunneling exfil · 3 ayda 8 GB müvekkil dosyası sızdı
Üst sınıf bir hukuk bürosunun firewall'unda anormal DNS query pattern tespit edildi: tek endpoint günde 12.000 TXT record query, subdomain pattern 60 char base64-like (DNS tunnel imzası). 3 ayda 8 GB müvekkil dosyası sızmıştı. DSET DNS firewall + adli inceleme + KVKK uyum ile sigorta tazmin %50, 18 ay temiz operasyon.
01 Karşılaşılan Durum
Firewall DNS query log: tek endpoint juristic-asst.lawfirm.local günde 12K TXT record query. Subdomain pattern 60 char base64-like (iodine/dnscat2 imzası). Endpoint hijack: 3 ay önce phishing 'CV.zip' → makro Excel → reverse shell. C2 sunucusu Çin VPN, APT41 (Wicked Panda) TTP eşleşmesi. 680 müvekkil etkilendi, 3 dava dosyası mahkemeye sunulmadan önce sızdı.
02 DSET'in Yaklaşımı
T+0 · Tunnel kes
Endpoint izole + DNS firewall (RPZ) kuruldu, DSET adli inceleme + KVKK bildirim sayacı başladı. Tunnel 22 dk içinde kesildi.
T+72h · Adli inceleme
DNS log carving: 8 GB veri base64 decode edildi, 14 büyük müvekkil dosyası. C2 sunucusu Çin VPN, APT41 TTP eşleşmesi.
T+1 hafta · KVKK + müvekkil iletişimi
KVKK 72 saat ihlal bildirimi yapıldı, ceza yok. 680 müvekkile resmi bildirim, 3 büyük dava için karşı taraf uyarısı.
T+2 hafta · Mahkeme delil bütünlüğü
Mahkemeye 'delil bütünlüğü' başvurusu yapıldı. DSET bilirkişi raporu 3 dava için hazırlandı, karşı taraf bilgi avantajı belgelendi.