200 endpoint yazılım firması · PowerShell Empire fileless C2 · 90 gün tespit edilemedi
200 endpoint'li yazılım firmasında SOC analist haftalardır anormal PowerShell aktivitesi görüyordu. AV/EDR temiz dönüyordu. DSET memory forensic ile Empire C2 beacon'ı ortaya çıkardı, 47 endpoint tam temizlendi, ZTNA + EDR + Sysmon + KQL mimari sonrası 12 ay temiz, MITRE ATT&CK simülasyonu geçti.
01 Karşılaşılan Durum
Sysmon: 47 endpoint'te encoded PowerShell -enc komutu (haftalardır). Memory dump: System.Reflection.Assembly.Load patterns (fileless). Disk artifact yok, sadece memory, AV/EDR temiz dönüyor. Empire signature-less olduğu için signature-based detection işe yaramıyor. DA kompromize 2 hop kaldı.
02 DSET'in Yaklaşımı
T+0 · Memory forensic
Volatility ile 3 host memory dump analizi. Empire C2 server tespit edildi (PowerShellEmpire/empire-dev fork). 47 host TTP haritası + USOM koordinasyon.
T+1 hafta · Pasif gözlem
1 hafta TTP toplama (saldırgan farkına varmadan): C2 sunucu, exfil kanalı, 5 ek beacon ortaya çıktı.
T+2 hafta · Koordineli eradication
47 endpoint eş zamanlı temizlik (saldırganın haberi olmadan). Kerberos krbtgt rotation × 2, Cobalt Strike beacon ekibi kovuldu.
T+3 hafta · Constrained Mode
PowerShell Constrained Language Mode + AppLocker aktif. ZTNA + EDR (CrowdStrike Falcon) + Sysmon tüm endpoint'lere kuruldu.