Türkiye'nin top 5 bankasında 9 günlük Red Team angajmanı
Bir mega-banka için 9 günlük Black Box Red Team angajmanı. Phishing → endpoint → AD → core banking jump server. 12 kritik · 28 yüksek bulgu. 30 günde tüm açıklar kapatıldı · 18 ay clean kaldı.
01 Karşılaşılan Durum
Bankanın iç güvenlik ekibi yıllık denetim için harici Red Team istedi. Hedef: gerçek bir APT veya organize suç grubu nasıl saldırırdı? Kuralları: hiçbir scope kısıtlaması yok · prod ortam dahil · iç ekip haberdar değil. Sonuç: 'Bankanın hangi kapısından girmemiz mümkün, oradan core banking'e ulaşabilir miyiz?'
02 DSET'in Yaklaşımı
Day 0 · OSINT
LinkedIn · GitHub · pastebin · darkweb taraması. 3 çalışan e-postası + 1 leaked credential tespit edildi. Bank'ın AWS S3 bucket'ı yanlış yapılandırılmış · veri yok ama yapı bilgisi açık.
Day 1-2 · Initial access
Hedefli phishing kampanyası · CFO sekreteri click yaptı · payload AppLocker'ı bypass etti (LOLBins kullanarak). Persistence sağlandı.
Day 3-4 · Privilege escalation
Local admin elde · LSASS dump · 3 farklı domain user credential. Kerberoasting ile service account hash · offline crack.
Day 5-6 · Lateral movement
Domain Admin erişimine ulaşmak için 4 farklı jump path. En kısa: 11 hop'ta core banking subnet erişimi.