TR Radar #1 — Türkiye'den Gelen 215 Bin Saldırı
Honeypot ağımız ilk haftada Türkiye kaynaklı 215 bin saldırı kaydetti. Turk Telekom ve Hostlayici dominantlığı, BTK IP bloğu scanner aktivitesi ve TR saldırganlarının hedef profili.
Giriş — Türkiye İçinden Bakış
Tellal #0’da ilk haftanın küresel resmini paylaştık. Bu yazıda odağı daraltıyoruz: Türkiye’den gelen saldırılar.
Küresel threat intelligence platformları TR perspektifini kaçırıyor — CrowdStrike/Fortinet genel trend verir, ISP-spesifik detay vermez. AbuseIPDB’de TR verisi dağınık. TR Radar bu boşluğu doldurmayı hedefliyor.
Özet
| Metrik | Değer |
|---|---|
| TR kaynaklı saldırı olayı | 215.323 |
| TR’nin küresel sıradaki yeri | 4. (US, MX, NL’den sonra) |
| Benzersiz TR saldırgan IP | ~180 |
| Top TR ASN | Turk Telekom (83.757 event) |
| Hedeflenen top port | SMB 445 (%64) |
TR ASN Dağılımı — TTNet + Hostlayici Dominant
Türkiye’den gelen saldırıların otonom sistem kırılımı:
| # | AS Organization | Event | Pay |
|---|---|---|---|
| 1 | Turk Telekom (AS9121) | 83.757 | %38.9 |
| 2 | Hostlayici (AS214382) | 34.738 | %16.1 |
| 3 | BTK (AS201688) | 24.083 | %11.2 |
| 4 | Vodafone Net (AS15897) | 13.498 | %6.3 |
| 5 | Netspeed İnternet (AS206375) | 12.940 | %6.0 |
| 6 | Fibim Fibernet (AS213145) | 12.627 | %5.9 |
| 7 | Superonline / Tellcom (AS34984) | 10.060 | %4.7 |
| 8 | TurkNet İletişim (AS8685) | 9.010 | %4.2 |
| 9 | Turkcell İletişim (AS16135) | 8.859 | %4.1 |
| 10 | VibeGAMES B.V. | 2.951 | %1.4 |
TTNet ~%50 ev interneti pazar payıyla en büyük ISP. Yüksek hacim iki anlama geliyor:
- Enfekte ev kullanıcıları: Botnet'e düşmüş IoT cihazları ve bilgisayarlar
- Kompromize kurumsal sistemler: Eski Windows sunucuları, yamanmamış MikroTik router'lar
HOSTLAYICI (AS214382), TR barındırma sektörünün "bulletproof" olarak anılan sağlayıcılarından. 34.738 event tek başına, bir VPS/dedicated barındırma firması için yüksek bir oran.
IP prefix'leri: 45.141.150.0/24, 37.230.60.0/24. rDNS: server.oyunlayici.com — oyun/warez barındırma sinyali. Abuse complaint'lerin işlenmediği hosting, botnet C2 panelleri için tercih ediliyor.
Özel Bulgu — 185.67.33.x Bloğu (BTK/USOM Scanner)
TR attacker listesinde dikkat çeken bir pattern: 185.67.33.0/24 bloğundan altı farklı IP honeypot'a düşüyor (.193, .201, .207, .213, .243, .247).
WHOIS sorgusu bu bloğun sahibini ortaya çıkarıyor: BTKBTD — Bilgi Teknolojileri ve İletişim Kurumu (AS201688). Yani Türkiye'nin telekom düzenleyici kurumunun IP bloğu.
Bu saldırı değil, büyük olasılıkla güvenlik taraması — BTK bünyesindeki USOM (Ulusal Siber Olaylara Müdahale Merkezi) veya araştırma birimi tarafından yürütülen tarama aktivitesi.
Framing: Bu IP'leri "attacker" olarak etiketlemiyoruz. Whitelist'e alınacak "security research" kategorisinde.
Öneri: Kurumsal blok listelerinde BTK bloklarını “research scanner” olarak işaretleyin — drop etmek yerine alert üretmek yeterli.
TR Saldırganları Ne Hedefliyor?
Türkiye IP’lerinin honeypot’a yönelttiği top portlar:
| Port | Servis | Event | Not |
|---|---|---|---|
| 445 | SMB | 137.406 | EternalBlue target, Windows legacy |
| 8080 | HTTP-alt | 24.908 | Proxy tarama, dev servers |
| 135 | MS-RPC | 10.398 | NetBIOS legacy |
| 80 | HTTP | 9.636 | Genel web tarama |
| 443 | HTTPS | 8.712 | TLS endpoint tespit |
| 3000-3299 | Node.js/Flask | ~6.000 | Modern web dev scan |
Yamanmamış Windows: WannaCry-tarzı otomatik exploitation (SMB 445, MS-RPC 135)
Açık dev sunucuları: Yanlışlıkla internete açılmış Node.js/Flask uygulamaları (port 3000-3299)
Geliştirici uyarısı:
npm run devveyaflask runsunucunuzu0.0.0.0yerine127.0.0.1’e bind edin.
Atlas Measurement Doğrulaması
TR Radar bulgularımızı sağlamlaştırmak için RIPE Atlas ölçüm ağından 9 measurement oluşturduk. Global saldırgan IP’leri için:
| MSM# | Target | Reachability | Avg RTT |
|---|---|---|---|
| 161331176 | 198.143.191.202 (PEG TECH) | %100 | 149ms |
| 161331177 | 187.108.1.130 (LANTEC BR) | %100 | 225ms |
| 161331178 | 109.199.98.14 (Contabo DE) | %100 | 116ms |
| 161331179 | 93.145.138.6 (Contabo DE) | %93 | 120ms |
| 161331180 | 38.188.160.31 (COGENT) | %0 | — |
| 161331181 | 212.112.125.18 (Pfcloud UG) | %0 | — |
38.188.160.31 ve 212.112.125.18 şu an ulaşılamaz. Bu ya takedown, ya firewall kapatması, ya da geçici offline durumu. Önümüzdeki haftalarda durumunu izleyeceğiz.
Ölçüm sonuçları tamamen açık, RIPE Atlas üzerinden erişilebilir:
- MSM #161331176
- MSM #161331180 (takedown adayı)
Civilian vs Hosting Ayrımı — Blok Stratejisi
TR saldırgan IP’leri iki kategoriye ayırıyoruz:
Örnekler: 45.141.150.180 (HOSTLAYICI), 37.230.60.99 (HOSTLAYICI), 188.125.172.223 (Fibim), 212.154.57.187
Öneri: 30 gün kalıcı blok. Bu IP'ler sabit, abuse complaint ile düşme ihtimali düşük.
Örnekler: 95.9.102.165 (TTNet ev), 88.247.85.80 (TTNet ev), 31.141.204.214 (Turkcell mobil), 82.222.59.119 (Superonline ev)
Öneri: 24-72 saat geçici blok. Bu IP'ler dinamik, DHCP dönüşü sonrası masum kullanıcıya düşebilir. last_seen alanını kontrol edin.
ISP Bazlı Öneriler
/ip service altında allowed-address ekleyin. Non-default yönetici adı + güçlü parola. RouterOS 7.20.8+ güncel tutun.
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol. MS17-010 yamasını kontrol edin. Dev/staging sunucularını firewall arkasına alın.
IoC Feed (CC0)
Bu yazıdaki TR saldırganlarını ve diğerlerini CC0 lisanslı public feed üzerinden paylaşıyoruz:
Her IoC metadata içeriyor: ASN, holder, category (hosting/residential_isp), confidence, recommended_ttl.
Metodoloji ve OPSEC
| Parametre | Değer |
|---|---|
| Kaynak | T-Pot CE 24.04.1, 25 sensör, İstanbul DC |
| Filtreleme | İç IP, CGNAT, passive fingerprinter hariç tutulur |
| ASN verisi | RIPEstat API canlı sorgu |
| Doğrulama | RIPE Atlas ölçüm ağı |
| Lisans | İçerik CC-BY-4.0, IoC CC0 |
Dinamik IP uyarısı: TR ISP IP’leri dinamik. Kalıcı blok öncesi
last_seenalanını kontrol edin.
Sonraki Hafta
Bu yayın SiberKale Tellal tarafından bağımsız araştırma amaçlı üretilmiştir. Paylaşılan IP adresleri aktif saldırı veya tarama davranışı sergileyen public kaynaklardır. Kişisel veri içermez (KVKK/GDPR uyumlu). İçerik CC-BY-4.0, IoC feed CC0 lisanslıdır.