İlk Hafta Raporu — 6.161 Saldırgan, 1 Milyon Olay
Honeypot raporu: İstanbul veri merkezinde 7 günlük T-Pot verisi. 6.161 benzersiz saldırgan IP, 1M+ olay, tehdit istihbaratı ve IoC analizi. Türkiye siber saldırı manzarası.
Özet
İlk hafta kapandı. Sayılar konuşuyor:
| Metrik | Değer |
|---|---|
| Benzersiz saldırgan IP | 6.161 |
| Toplam olay | 1.073.449 |
| Aktif honeypot katmanı | 4 |
| Kayıt süresi | 7 gün |
| Günlük ortalama | ~153.350 olay |
Bu rapor OPSEC filtresinden geçmiş, yayınlanabilir veridir. Kendi IP bloklarımız, meşru araştırmacı tarayıcıları (Shodan, Censys, BinaryEdge) ve ticari tarama servisleri filtreden çıkarılmıştır. Geriye kalan: ham saldırı trafiği — gürültü değil, sinyal.
Haftanın en çarpıcı bulgusu bir sayı değil, bir oran: 6.161 saldırganın 453’ü aynı zamanda kendisi de zafiyet taşıyor. Yani her 14 saldırganın biri muhtemelen ele geçirilmiş bir sistem. Saldıran ama habersiz.
ISP operatörlerinin bu verilerle ne yapabileceğini SiberKale Blog’da anlattık. Bu sistemi nasıl kurduğumu kişisel blogumda yazdım. Tüm IoC verilerine Feed Hub’dan ulaşabilirsiniz.
Honeypot Kapsam
Dört katmanlı sensör mimarisi çalışıyor. Her katman farklı davranış yakalıyor; bir IP’nin kaç katmana ulaştığı tehdit skoruna doğrudan etki ediyor.
Suricata — Ağ İmza Motoru
5.939 benzersiz saldırgan IP bu katmanda tespit edildi. Suricata pasif dinleme yapıyor: her paketin protokol imzasını Emerging Threats kural setiyle karşılaştırıyor, eşleşen her olayı Elasticsearch’e yazıyor. HTTP/HTTPS, SSH, SMB, RDP, NTP ve ICS protokollerinde kapsama var.
Suricata en yüksek hacimli katman — günde yüz binlerce olay işliyor. Bu hem güçlü hem de riskli: false positive oranı diğer katmanlara kıyasla daha yüksek. Suricata’dan gelen IP’lerin tehdit skoru hesaplanırken diğer katmanlarla örtüşme ağırlıklı faktör.
p0f — Pasif OS Tanımlama
5.608 benzersiz IP pasif fingerprint ile analiz edildi. p0f tek paket bile göndermeden karşı tarafın işletim sistemini, servis versiyonunu ve ağ stack davranışını tahmin ediyor. TTL, TCP window boyutu, timestamp seçeneği ve DF flag kombinasyonlarına bakıyor.
Pratik değeri: botnet node’larının OS dağılımı burada görünüyor. İlk haftada ağırlıklı Linux 3.x / 4.x kernel, az sayıda Windows Server. Windows node’ları orantısız yüksek tehdit skoru taşıyor — genellikle ele geçirilmiş ve güncellenmemiş sistemler.
Glutton — Servis Emülatörü
529 benzersiz IP — en düşük hacim, en yüksek kalite. Glutton HTTP, FTP, SSH ve SMTP servislerini düşük etkileşimli olarak taklit ediyor. Bu katmana ulaşan IP’ler salt port taraması yapmıyor — bağlanmaya, kimlik doğrulamaya veya payload göndermeye çalışıyor.
Ortalama tehdit skoru bu katmanda 27.7 (100 üzerinden). İlk taramayı atlayıp Glutton’a düşen her IP, yüksek öncelik listesine otomatik alındı.
Fatt — Protokol Parmak İzi
20 benzersiz IP — en seçici katman. Fatt TLS handshake’ten JA3 hash, SSH handshake’ten HASSH üretiyor. Bu imzalar araç setlerini tanımlamada kullanılıyor: Metasploit, belirli botnet framework’leri, özel implantlar kendi JA3/HASSH imzalarını bırakıyor.
20 IP az görünebilir ama bu listedeki her IP, belirlenmiş ve aktif araç seti kullanan operatöre işaret ediyor. Ham sayıdan çok önem taşıyan bir liste.
Çapraz Katman Analizi: En Tehlikeli Cluster
508 IP tüm 3 ana pota dokundu. Bu grubun ortalama tehdit skoru 28.6 — tek katmana dokunanların 1.3 puanı üzerinde görünebilir ama dağılıma bakınca fark daha belirgin. Bu 508 IP’nin %80’i Glutton veya Fatt’a da ulaşmış; yani salt tarama değil, gerçek erişim girişimi.
Üç katmana birden ulaşmak rastlantısal değil. Bu IP’ler birden fazla protokol ve servisi denemeli, farklı portlarda aktif olmalı ve honeypot’un emüle ettiği bir servise gerçekten bağlanmalı. Fırsatçı botlar değil, hedeflenmiş saldırı davranışı.
Saldırı Teknikleri
Protokol ve vektör dağılımı:
| Saldırı Vektörü | Benzersiz IP | Toplam Hit | Notlar |
|---|---|---|---|
| HTTP/443 Tarama | 1.247 | ~420.000 | HTTPS servis keşfi, versiyon fingerprint |
| SSH Brute Force | 1.167 | ~290.000 | Dictionary + CVE exploit zinciri |
| NTP Amplifikasyon | 478 | ~180.000 | Ortalama amplifikasyon 556x |
| RDP Brute Force | 50 | ~12.000 | Credential stuffing ağırlıklı |
| SMB Exploit | 40 | ~8.500 | EternalBlue türevleri dahil |
| MikroTik Saldırısı | 4 | ~800 | RouterOS CVE + Chimay-Red |
HTTP/443 tarama sayıca en büyük kategori. Honeypot’un HTTPS servis emülasyonuna gelen 1.247 IP büyük bölümü otomatik tarayıcı — ama %15 kadarı banner-grab yaptıktan sonra spesifik versiyona yönelik exploit deniyor. Bu ikinci grup daha değerli.
SSH tarafındaki asıl tehdit salt brute force değil. CVE exploit zincirleri bu kategoride aktif — ayrıntı Zafiyet Zincirleri bölümünde. 1.167 IP’nin yaklaşık %21’i (243 IP) brute force yerine doğrudan CVE payload’ı gönderdi.
NTP amplifikasyonu ilk hafta en sürpriz bulguydu. 478 kaynak IP amplifikasyon girişiminde bulundu. Bu IP’lerin büyük bölümü ele geçirilmiş NTP sunucuları — saldırıyı başlatan kaynak değil, reflektör. Gerçek kaynak IP’leri sahte.
MikroTik hedeflemesi 4 IP ile sayıca en küçük kategori. Ama bu 4 IP RouterOS’a özgü payload kullanıyor: Chimay-Red (CVE-2018-14847) ve Winbox kimlik açığı. Türkiye ISP altyapısının büyük bölümü MikroTik tabanlı olduğu düşünüldüğünde bu vektör orantısız risk taşıyor.
Top Saldırganlar
#1 — 80.66.83.43 (Rusya Federasyonu)
Haftanın en ilginç tek IP profili. Bağlı olduğu ASN neredeyse tek kişilik — toplam prefix sayısı iki el parmaklarını geçmiyor. Buna rağmen tehdit skoru 70 ile listenin tepesinde.
Protokol kombinasyonu: RDP (3389), SMB (445), WinRM (5985/5986). Bu üçlü Windows altyapısına odaklı bir saldırgana işaret ediyor. RDP brute force + SMB exploit + WinRM lateral movement — klasik Windows penetrasyon zinciri.
p0f bu IP’nin Windows 10 çalıştırdığını tespit etti. Küçük bir ASN’den, Windows üzerinde, yüksek hedeflenmiş protokol kombinasyonu kullanan bir saldırgan: bot değil, manuel yönlendirmeli. Mümkünse ilişkilendirilecek diğer kampanyaları araştırılıyor.
#2 — 77.83.39.75 (Ukrayna)
Çift kimlik vakası. Hem saldırıyor hem de kendisi açık.
Suricata bu IP’den SMB paketleri tespit etti. p0f’un OS tespiti: Windows. Aynı analiz sırasında bu IP’nin SMBGhost (CVE-2020-0796) zafiyetine açık olduğu görüldü — yani Windows 10 1903-1909 arası, güncellenmemiş.
SMBGhost uzak kod çalıştırma zafiyeti. 2020’de yayımlandı, patch 6 yıl önce çıktı. Hâlâ güncellenmemiş bir sistem — büyük ihtimalle operatörü tarafından değil, başka biri tarafından yönetiliyor. Botnet node’u olarak ele geçirilmiş, komuta boyun eğiyor.
Bu vakayı kayda değer yapan şey şu: saldırganların büyük bölümü fidil çeken operatörler değil. Cihazları ele geçirilmiş bireyler ve kurumlar. Blame the attacker, not the node.
#3 — 85.11.167.11 (Bulgaristan)
85’in üzerinde CVE kaydı. En eskisi 2006 tarihli, en yenisi 2025. Bu IP aralığı onlarca bağımsız araştırmacı ve 7 farklı threat intelligence kaynağı tarafından bayraklanmış.
Davranışsal profil: HTTP/443 tarama ağırlıklı, versiyon fingerprint peşinde. Glutton’a da ulaştı — hedeflenmiş tarama. p0f Linux tespit etti, kernel versiyonu belirsiz.
20 yıllık sorun kaydı ile hâlâ aktif olmak ilginç. Aslen bir güvenlik açığı koleksiyonu gibi görünen bu IP neden devre dışı bırakılmamış? Muhtemelen cevap: birden fazla kez el değiştirmiş, farklı operatörler farklı dönemlerde kullanmış. Belirli eski kötü amaçlı yazılım ailelerinin komuta altyapısı ile örtüşme ihtimali araştırılıyor.
#4 — 204.76.203.73 (ABD — Pfcloud kümesi)
Bu hafta tek IP olarak en yüksek bağlantı sayısını üreten: 17.441 hit — yedi günde. Günde 2.491, saatte 103 bağlantı denemesi.
Pfcloud UG (AS51396) kümesinin en aktif node’u. Rate limiting olmayan ama methodical — aynı port dizisini düzenli aralıklarla tarıyor, tespit edilince IP değiştiriyor. Ama /24 bloğu aynı kalıyor.
Önemli: bu IP’nin hit sayısı Modat kümesinin tek bir IP’sinden çok daha yüksek. Pfcloud daha küçük ölçekte ama daha agresif davranış profili sergiliyor.
#5 — Modat Küme Lideri (85.217.140.x bloğu)
Modat B.V. (AS209334) küme liderini tek IP olarak değil, koordineli davranışı nedeniyle bu listeye aldım. 85.217.140.0/24 bloğundan gelen trafiğin saatlik dağılımı iş saatlerinde artıyor, gece 02:00-06:00 UTC arası düşüyor. Bot değil, insan yönlendirmeli.
165 IP, 3 ülke çıkışı, 380.000+ toplam hit, trafiğin %35’i. Tüm Modat küresini bloke etmek ses kesmenin en hızlı yolu.
Saldırgan Altyapı
Modat B.V. — AS209334
Bu haftanın dominant aktörü. Teknik profil özeti:
- 165 benzersiz IP, Hollanda merkez + Almanya ve Romanya çıkış VPS
- 380.000+ toplam hit — genel trafiğin %35’i
- Aktif /24 blokları:
85.217.140.0/24,85.217.149.0/24 - Hedef protokol dağılımı: HTTP/443 baskın (%72), SSH (%18), diğer (%10)
- Davranış: düşük hız, yüksek kalıcılık — rate limit atlatmak için tasarlanmış yavaş tarama
Modat IP’leri birden fazla bağımsız threat intelligence kaynağında “bulletproof hosting” olarak işaretlenmiş. Abuse raporlarına müdahale kaydı yok. Aynı ASN daha önce farklı spam ve credential stuffing kampanyalarında görüldü.
Saatlik dağılım analizi iş günü örüntüsü gösteriyor — otomatik sistemlerin tipik “her saat aktif” profilinden farklılaşıyor. Bu koordineli, human-in-the-loop bir operasyona işaret ediyor.
Pfcloud UG — AS51396
- 54 benzersiz IP, ABD çıkışı ağırlıklı
- Küme lideri
204.76.203.73: tek başına 17.441 hit - Aktif /24 blokları:
176.65.149.0/24,176.65.151.0/24,204.76.203.0/24 - Protokol dağılımı: SSH ve HTTP eşit ağırlık
- Davranış: Modat’tan daha agresif, daha hızlı rotasyon
Pfcloud, Modat’tan farklı bir risk profili çiziyor: daha küçük ölçek, daha yüksek yoğunluk, daha hızlı IP değiştirme. Tespit edildiğinde /32 yeni IP alıyor — ama /24 bloğu sabit kalıyor. Block the range, not the IP.
Bulletproof /24 Prefix Listesi
Haftada 30 şüpheli /24 prefix tespit edildi. Ortak profilleri:
- AbuseIPDB’de 3+ bağımsız şikayeti olan birden fazla IP içeriyor
- RPKI ROA geçerli ama maksimum toleransta (/24 altına inilmiyor)
- Bazıları RIPE prefix kaçırma uyarısı taşıyan bloklar — meşru sahipten farklı otonom sistem duyurusu
- Upstream filtering listelerinde farkı kayıtlara sahip
Bu 30 prefix STIX 2.1 formatında Feed Hub’da mevcut. Otomatik bloke için kullanıma hazır.
Zafiyet Zincirleri
SSH CVE Zinciri — 243 IP
SSH brute force görünümlü ama aslında üç aşamalı CVE zinciri kullanan 243 IP tespit edildi:
Adım 1: CVE-2023-48795 Terrapin SSH handshake sırasında şifreleme parametrelerini manipüle ediyor. ChaCha20-Poly1305 veya CBC modlu şifrelemede sequence number değişikliğiyle handshake bütünlüğünü zayıflatıyor. Saldırgan downgrade attack için zemin hazırlıyor.
Adım 2: CVE-2025-26465 2025’te yayımlanan, SSH client kimlik doğrulama bypass zafiyeti. Hızla silaha dönüştürüldü — yayımlanmasından bu yana 3-4 ay içinde 243 aktif kullanım noktası. Exploit framework’lere entegrasyon süresi dramatik biçimde kısalıyor.
Adım 3: CVE-2023-38408 ssh-agent forwarding aktifken OpenSSH’ta uzak kod çalıştırma. Agent forwarding varsayılan kapalı ama kurumsal ortamların önemli bir bölümünde production sunucularda açık.
243 IP’nin bu üçünü sıralı kullanması tesadüfi değil. Aynı framework’ü kullanan, organize operatörler. Honeypot bağlantıyı aldı ve geri bildirmedi — gerçek bir sunucuda 1. adım başarılı olursa zincirin tamamı çalışabilir.
Etkilenen sürümler: OpenSSH < 9.6. Güncelleme yapmamış Ubuntu 20.04/22.04, Debian 11/12, CentOS Stream 8/9 sistemler.
SMBGhost Döngüsü ve “Saldırgan-Kurban” Paradoksu
77.83.39.75 vakasıyla başlayan analiz sistematik bir örüntü ortaya çıkardı.
453 “vulnerable-host” etiketli IP tespit edildi. Bu IP’ler hem aktif saldırı davranışı sergiliyor hem de kendi sistemlerinde açık zafiyetler taşıyor — Suricata veya p0f bu zafiyetleri pasif analiz yöntemiyle tespit etti.
Zafiyetlerin büyük bölümü: SMBGhost (CVE-2020-0796), EternalBlue (CVE-2017-0144), ve MS17-010 türevleri. Bunların ortak özelliği: hepsi yıllardır bilinen, uzun süredir patch mevcut olan zafiyetler.
Rakam: 6.161 saldırganın %7.4’ü aynı zamanda kurban. Bu ele geçirilmiş botnet node’larına işaret ediyor — sahipleri farkında değil, sistem başkasının komutuyla çalışıyor.
Bu verinin etik boyutu: sadece bloke etmek yeterli değil, zafiyet bildirimi de gerekiyor. Bu amaçla XARF formatında abuse bildirim motoru geliştirme planımız mevcut.
Sonuç
İlk hafta üç temel bulgu sunuyor:
1. Koordineli küme saldırıları gürültünün büyük bölümünü oluşturuyor. Modat B.V. 165 IP ile trafiğin %35’ini üretiyor. Bu /24 bloklarını bloke etmek yüksek etki-düşük maliyet savunma adımı.
2. SSH exploit zinciri aktif ve yaygın kullanımda. CVE-2023-48795 + CVE-2025-26465 + CVE-2023-38408 üçlüsü 243 IP tarafından kullanılıyor. OpenSSH 9.6 güncellemesi ve ssh-agent forwarding devre dışı bırakma bu vektörü kapatıyor.
3. Saldırganların %7’si aynı zamanda kurban. Salt IP bloklama yeterli değil. Sistem sahiplerine zafiyet bildirimi ekosistemi için çalışıyoruz.
Bir sonraki rapor 14 Nisan’da. Modat kümesinin davranış değişikliğini, yeni SSH CVE aktivitesini ve RIPE Atlas verisinin saldırı yolu analizine katkısını izliyoruz.
Tüm IoC verilerine Feed Hub’dan ulaşabilirsiniz. STIX 2.1, JSON ve CSV formatları mevcut. API dokümantasyonu entegrasyon detaylarını içeriyor.