Proxy Avcıları ve VNC Kampanyası — Gizlenme Altyapısı İnşa Ediliyor
193 bin SOCKS proxy taraması ve 79 bin VNC brute force denemesi. Saldırganlar gizlenme altyapısı ve uzak erişim noktaları arıyor. Honeypot verilerinden kampanya analizi.
TL;DR
DNS amplification trafiğini çıkardığınızda geriye kalan 860K event’in en büyük iki bileşeni SOCKS proxy taraması ve VNC brute force. İki kampanya farklı portları hedefliyor ama aynı amaca hizmet ediyor: bir sonraki saldırı için altyapı toplamak. SOCKS proxy’ler gizlenme katmanı, VNC sunucuları erişim noktası. Araya DoublePulsar exploit’i girdiğinde tablo tamamlanıyor.
SOCKS Proxy Avcılığı — Port 1080
Ne Arıyorlar?
SOCKS (Socket Secure) protokolü TCP ve UDP trafiğini bir proxy sunucusu üzerinden yönlendiriyor. HTTP proxy’den farklı olarak uygulama katmanını değil, transport katmanını proxy’liyor — herhangi bir protokolü taşıyabilir.
Saldırganlar açık SOCKS proxy arıyor çünkü:
- Attribution engelleme — Gerçek IP adresleri gizleniyor. Hedef sadece proxy IP’sini görüyor.
- Coğrafi kısıtlama atlama — Hedef ülkedeki proxy ile yerel trafik gibi görünüyorlar.
- Brute force dağıtımı — Her denemeyi farklı proxy’den göndererek rate-limit ve IP ban mekanizmalarını atlıyorlar.
- Spam relay — E-posta gönderimleri proxy üzerinden çıkarak kaynak izini kaybettiriyor.
Bir SOCKS proxy ağı oluşturulduğunda saldırganın operasyonel yeteneği katlanıyor. Artık tek bir IP’den saldırmak zorunda değil — yüzlerce proxy üzerinden dağıtık operasyon yürütebiliyor. Bu yüzden proxy keşfi “hazırlık aşaması” saldırısıdır: sonuç üreten saldırı değil, sonuç üretecek saldırının altyapısı.
Suricata Tespitleri
| İmza | Tetiklenme | Açıklama |
|---|---|---|
| GPL INFO SOCKS Proxy attempt | 153.624 | SOCKS4/5 handshake pattern tespiti |
153.624 SOCKS proxy denemesi. Suricata bu imzayı SOCKS4 ve SOCKS5 negotiation paketlerinin byte dizisini tanıyarak tetikliyor. Saldırganlar port 1080’e bağlanıp SOCKS handshake başlatıyor — proxy yanıt verirse IP’yi kullanılabilir proxy listesine ekliyor, yanıt vermezse bir sonraki hedefe geçiyor.
193.508 port 1080 hit’inin 153.624’ünde (%79) SOCKS handshake pattern tespit edildi. Kalan %21 bağlantı kurulmuş ama handshake başlamadan kesilmiş — muhtemelen port açık mı kontrolü (SYN scan) ile yetinen daha hızlı bir tarayıcı.
İnternete açık bir SOCKS proxy, saldırganlar için attribution-proof silah. Spam kampanyaları, credential stuffing, DDoS trafiği — hepsi proxy zincirleri üzerinden akıyor. Proxy'niz dışarıya açıksa farkında olmadan başkasının saldırı altyapısına hizmet ediyorsunuz. Yasal sorumluluk dahil.
Kaynak Profili
SOCKS tarayıcıları büyük ölçüde DNS amplification kampanyasıyla aynı ASN’lerden geliyor: GoDaddy, Contabo, Hostinger, Oracle Cloud. Bu örtüşme, aynı botnet operatörlerinin port 53 ve port 1080’i paralel taradığını gösteriyor. Farklı portlar, farklı amaçlar, aynı komuta altyapısı.
Ancak bir fark var: SOCKS taramasında Brezilya kaynaklı trafik orantısız yüksek. Global Conecta Telecom (BR) 299K event ile DNS kampanyasında beşinci sıradaydı; SOCKS taramasında bu ASN’den gelen trafik diğer portlara kıyasla daha yoğun. Brezilya ISP ağlarındaki enfekte ev cihazları hem DNS reflektör hem proxy olarak kullanılmaya aday.
VNC Brute Force Kampanyası — Port 5900
Neden VNC Hedefte?
VNC (Virtual Network Computing) platformdan bağımsız bir uzak masaüstü protokolü. RDP’nin Windows-only kısıtlaması yok; Linux, macOS, hatta gömülü sistemlerde çalışıyor. Bu esneklik VNC’yi yaygınlaştırdı — ve yaygınlık saldırı yüzeyini büyüttü.
VNC’nin güvenlik sorunları yapısal:
- Şifreleme zayıf veya yok. Eski VNC sürümleri trafiği şifrelemiyor. Yenileri DES tabanlı şifreleme kullanıyor — DES 1999’da kırılmış sayılıyor.
- Şifre limiti 8 karakter. VNC authentication protokolü (RFB) şifreyi 8 karakterle kesiyor. 20 karakterlik şifre koysanız bile sadece ilk 8’i kullanılıyor. Brute force alanı daraltılmış durumda.
- “No authentication” modu. Bazı kurulumlar şifresiz erişim sunuyor — özellikle iç ağda “geçici” açılan ve kapatılmayı unutulan sunucular.
- İnternete açık bırakılıyor. Firewall kuralları eklenmeden veya VPN arkasına alınmadan doğrudan internetten erişilebilir halde bırakılıyor.
VNC erişimi = tam masaüstü kontrolü. Dosya sistemi, tarayıcı, e-posta, terminal — her şey.
52.158 VNC Alert — Ne Görüyoruz?
| İmza | Tetiklenme | Anlam |
|---|---|---|
| GPL INFO VNC server response | 52.158 | Honeypot VNC banner’a yanıt verdi, saldırgan devam ediyor |
78.890 port 5900 hit’inin 52.158’inde (%66) Suricata VNC server response imzasını tetikledi. Saldırganın akışı:
- Port scan → 5900 açık mı?
- Banner grab → Sunucu RFB protokol versiyonu gönderiyor (örn:
RFB 003.008) - Authentication type → None / VNC Password / RA2ne / RA2?
- Auth None → Şifresiz direkt giriş
- VNC Password → 8 karakter DES brute force başlıyor
- Başarılı giriş → Masaüstü kontrolü → payload deploy
VNC sunucusu banner gönderdiğinde saldırgan üç bilgiyi elde ediyor: 1) port açık, 2) VNC çalışıyor, 3) protokol versiyonu. Authentication type'ı öğrendiğinde brute force stratejisini belirliyor. Banner'ın kendisi bile bir güvenlik sızıntısı — servis fingerprint bilgisi veriyor.
VNC ve Kripto Madenciliği Bağlantısı
Bu haftanın SSH credential verisi VNC kampanyasıyla aynı motivasyonu ortaya koyuyor. Cowrie honeypot’unda sol (67), solana (40), solv (26), steam (48) kullanıcı adları denenmiş. Hedef: yüksek CPU/GPU kapasiteli makineler.
VNC ile erişilen makineler genellikle GUI çalıştıran sunucular veya iş istasyonları — yani yüksek donanım kapasiteli sistemler. Saldırgan VNC’den giriyor, kripto madencisi kuruyor, GPU’yu devreye alıyor. Madencilik geliri saldırgana, elektrik faturası makine sahibine.
steam kullanıcı adının 48 kez denenmesi bu bağlamda anlam kazanıyor. Gaming sunucuları GPU yoğun — madencilik için biçilmiş kaftan. Saldırganlar Steam hesabı değil, Steam sunucusunun donanımını hedefliyor.
İki Kampanyanın Kesişimi — Saldırı Zinciri
SOCKS proxy ve VNC kampanyaları izole operasyonlar değil. Kaynak IP örtüşme analizi, aynı IP’lerin her iki portu da taradığını gösteriyor. Bu tam bir operasyonel zincire işaret ediyor:
1. SOCKS proxy bul → Gizlenme altyapısı kur
2. Proxy üzerinden VNC tara → Attribution-proof keşif
3. VNC'den giriş yap → Makine kontrolü ele geçir
4. Payload deploy et → Madenci / botnet / ransomwareİlk adımda bulunan proxy’ler ikinci adımda kullanılıyor. Saldırgan artık kendi IP’siyle VNC taramıyor — bulduğu açık proxy üzerinden tarıyor. Hedef organizasyonun log’larında saldırgan IP olarak proxy’nin adresi görünüyor, gerçek kaynak gizli kalıyor.
Bu iki kampanya izole saldırılar değil — bir sonraki büyük operasyon için altyapı toplama faaliyeti. SOCKS proxy'ler gizlenme katmanı, VNC sunucuları hedef ve araç deposu. "Hazırlık aşaması" saldırıları, asıl saldırıdan daha bilgilendirici: operatörün niyetini, ölçeğini ve zaman çizelgesini ele veriyor.
DoublePulsar — Zincirin Üçüncü Halkası
Port 445 (SMB) hedefli 7.941 DoublePulsar backdoor kurulum denemesi bu kampanya bağlamına oturuyor. DoublePulsar, 2017’de Shadow Brokers tarafından sızdırılan NSA exploit’i. EternalBlue (MS17-010) ile SMBv1 zafiyetini sömürdükten sonra sisteme backdoor yükleyen araç. WannaCry ve NotPetya saldırılarının temel bileşeni.
9 yıl sonra hâlâ aktif olması, yamanmamış Windows sistemlerin sayısını ve bu exploit’in botnet framework’lerine ne kadar derinden entegre olduğunu gösteriyor.
İki kaynak IP tüm DoublePulsar trafiğini üretiyor:
| IP | Hit | Konum | Not |
|---|---|---|---|
| 216.82.43.156 | ~6.500 | ABD | Haftanın en ısrarcı exploit operatörü |
| 103.109.220.214 | ~1.400 | Hindistan | İkincil node |
DoublePulsar başarılı olduğunda saldırı zinciri genişliyor:
SMB tarama → EternalBlue exploit → DoublePulsar backdoor
→ VNC/RDP kurulumu → Kalıcı uzak erişim → Madenci deployPort 445’e 21.060 hit gelmiş durumda. 7.941’i DoublePulsar pattern’i taşıyor — geri kalanı SMB versiyon keşfi, credential brute force ve diğer SMB exploit denemeleri.
Savunma Notu
DoublePulsar/EternalBlue’dan korunmak teknik olarak basit:
- SMBv1 devre dışı:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol - Port 445 kapalı: İnternetten erişilemez olmalı
- MS17-010 yaması: 2017’den beri mevcut
Bu üç adım zincirin tamamını kırıyor. Sorun teknik değil, operasyonel: yamanmamış ve internete açık Windows sistemler hâlâ mevcut.
MikroTik API — Router Botnet Hedeflemesi
Port 8728’e 7.527 hit — MikroTik RouterOS API portu. Bu veri DNS/SOCKS/VNC üçlüsünün yanında küçük görünse de risk profili farklı: bir router ele geçirildiğinde saldırgan uç nokta değil, ağ altyapısını kontrol ediyor.
Glutton sensöründe port 8728 en çok etkileşim alan port: 1.886 bağlantıda saldırganlar salt port açık mı diye bakmıyor, RouterOS API komutları gönderiyor. Authentication denemesi, versiyon keşfi, konfigürasyon okuma girişimleri kayıt altında.
Türkiye ISP altyapısının büyük bölümü MikroTik tabanlı. Port 8728 açık bırakılmış bir router, tüm müşteri trafiğinin manipüle edilebileceği anlamına geliyor: DNS hijacking, trafik yönlendirme, man-in-the-middle.
Savunma Önerileri
Port 1080'i dışarıya kapatın. Proxy servisi çalıştırıyorsanız authentication zorunlu yapın ve IP whitelist uygulayın. Gereksiz proxy servislerini kaldırın. Outbound SOCKS trafiğini izleyin — ağınızdaki bir makine farkında olmadan proxy olarak kullanılıyor olabilir.
VNC'yi internete açmayın — VPN veya SSH tunnel arkasına alın. Şifresiz VNC asla kullanmayın. VNC şifresi 8 karakter limiti taşıyor, tek başına yeterli değil; ek güvenlik katmanı (VPN, SSH tunnel) şart. Kullanmadığınız VNC servislerini kapatın.
İnternete açık bırakmayın. SMBv1'i devre dışı bırakın. MS17-010 yamasını kontrol edin — 2017'den beri mevcut. Windows Firewall'da port 445'i dış erişime kapatın. İç ağda SMB trafiğini segmente edin.
API portunu (8728/8729) dışarıdan kapatın. /ip service set api address=192.168.0.0/16 ile iç ağa kısıtlayın. RouterOS'u güncel tutun (7.20.8+). Varsayılan admin şifresini değiştirin. Winbox portunu (8291) da kısıtlayın.
IoC — Kampanya Kaynak IP’leri
Bu kampanyadaki en yüksek hacimli saldırgan IP’ler (multi-port tarayıcılar — SOCKS, VNC, SMB birlikte hedefliyor):
| IP | Hit | ASN | Ülke |
|---|---|---|---|
| 107.180.114.199 | 742.109 | GoDaddy | 🇺🇸 ABD |
| 36.50.177.198 | 707.949 | INTERDIGI | 🇻🇳 Vietnam |
| 209.42.22.207 | 375.484 | WHG Hosting | 🇬🇧 İngiltere |
| 185.169.68.28 | 243.884 | Virtuaal.com OU | 🇪🇪 Estonya |
| 109.199.98.14 | 192.824 | Contabo | 🇫🇷 Fransa |
| 185.107.91.76 | 78.755 | Hostnet B.V. | 🇳🇱 Hollanda |
| 187.191.2.214 | 77.984 | Total Play | 🇲🇽 Meksika |
| 216.82.43.156 | 6.617 | — | 🇺🇸 ABD (DoublePulsar) |
Metodoloji ve OPSEC
| Parametre | Değer |
|---|---|
| Kaynak | T-Pot CE 24.04.1, İstanbul DC |
| Filtreleme | İç IP, CGNAT, passive fingerprinter hariç |
| Veri penceresi | 5–9 Nisan 2026 |
| IDS | Suricata + Emerging Threats kural seti |
| Lisans | İçerik CC-BY-4.0, IoC CC0 |
Bu rapor SiberKale honeypot ağından elde edilen OPSEC-filtrelenmiş verilere dayanmaktadır. İç altyapı bilgisi içermez. IoC verileri CC0 lisansı ile paylaşılmaktadır.