MikroTik API Brute-Force — 891 Deneme, Tek Kampanya
Glutton honeypot'umuz 24 saatte 891 MikroTik API (port 8728) brute-force denemesi yakaladı. Saldırı tekniği, IoC'ler ve MikroTik güvenlik sertleştirme rehberi.
TL;DR
Port 8728 (MikroTik RouterOS API) üzerinde koordineli bir brute-force kampanyası tespit ettik. 24 saatte 891 deneme, 2 ana saldırgan IP. Saldırganlar rastgele 4 karakterlik kullanıcı adı ve tek karakterlik şifrelerle deneme yapıyor — klasik dictionary attack değil, karakter uzayı taraması.
MikroTik kullanıyorsanız: API servisini kapatın veya IP kısıtlayın.
Veriler
| Metrik | Değer |
|---|---|
| Toplam deneme | 891 |
| Hedef port | 8728 (MikroTik API) |
| Benzersiz saldırgan | 10 |
| Süre | 24 saat |
| Kaynak | Glutton TPROXY honeypot |
Saldırgan Dağılımı
| IP | Deneme | Oran |
|---|---|---|
| 45.205.1.110 | 189 | %21 |
| 45.205.1.5 | 112 | %13 |
| 185.91.127.85 | 18 | %2 |
| 170.39.218.251 | 17 | %2 |
| 170.39.218.32 | 16 | %2 |
| 160.119.76.57 | 14 | %2 |
| Diğer (4 IP) | 525 | %58 |
45.205.1.x subnet’i toplam 301 denemeyle en aktif kaynak. İki IP aynı /24 bloğunda — muhtemelen aynı altyapı.
Saldırı Tekniği
Glutton honeypot’umuzun yakaladığı payload’lar MikroTik API protokolünü birebir taklit ediyor:
06 2f 6c 6f 67 69 6e /login
0a 3d 6e 61 6d 65 3d =name=
39 4a 39 6c 9J9l
0b 3d 70 61 73 73 77 =password=
6f 72 64 3d 73 00 sÇözümlenmiş:
/login
=name=9J9l
=password=sPattern Analizi
Yakalanan örneklerden:
| Username | Password |
|---|---|
| 9J9l | s |
| 6441 | G |
| vFsb | s |
| P4fs | v |
| pxQJ | o |
| 0f2A | i |
| bccs | b |
| ks cQ | 6 |
| ozR6 | j |
Gözlem: Kullanıcı adları 4 karakter, alfanümerik, rastgele. Şifreler tek karakter. Bu, belirli bir credential listesi değil — karakter uzayı brute-force. Hedef: varsayılan veya ultra-kısa şifreli MikroTik’ler.
MikroTik RouterOS 6.x’te varsayılan kullanıcı admin, şifre boş. Saldırgan muhtemelen admin denemesini zaten yapmış, şimdi diğer olasılıkları tarıyor.
Neden Önemli?
Türkiye’de MikroTik
MikroTik, Türkiye’de:
- WISP (kablosuz ISP) altyapısının büyük bölümünü oluşturuyor
- KOBİ router’ı olarak yaygın
- Veri merkezi switch/router olarak kullanılıyor
- ISP BRAS/PPPoE concentrator olarak tercih ediliyor
Port 8728 varsayılanda tüm arayüzlerde açık gelir. Birçok kurulumda değiştirilmez.
Saldırı Sonrası Senaryo
MikroTik API erişimi ele geçirildiğinde saldırgan:
- DNS hijacking yapabilir (tüm kullanıcıları sahte sitelere yönlendirir)
- VPN tunnel açabilir (ağa kalıcı erişim)
- Cryptomining proxy kurabilir
- Botnet node olarak kullanabilir
- Traffic sniffing yapabilir (packet sniffer özelliği)
Sertleştirme Rehberi
1. API Servisini Kapatın (Kullanmıyorsanız)
/ip/service/disable api
/ip/service/disable api-ssl2. IP Kısıtlama (Kullanıyorsanız)
/ip/service/set api address=192.168.0.0/16
/ip/service/set api-ssl address=192.168.0.0/163. Port Değiştirin
/ip/service/set api port=487284. Firewall Kuralı
/ip/firewall/filter/add chain=input protocol=tcp dst-port=8728 \
src-address-list=!trusted action=drop comment="Block API brute-force"5. Login Retry Limit
/ip/firewall/filter/add chain=input protocol=tcp dst-port=8728 \
connection-state=new action=add-src-to-address-list \
address-list=api-brute address-list-timeout=1h \
limit=3,5:packet
/ip/firewall/filter/add chain=input protocol=tcp dst-port=8728 \
src-address-list=api-brute action=dropIoC
# MikroTik API brute-force kaynakları
45.205.1.110
45.205.1.5
185.91.127.85
170.39.218.251
170.39.218.32
160.119.76.57
# Hedef port
8728/tcp (MikroTik API)
8291/tcp (Winbox)
# Lisans: CC0