Honeypot'u Bilen Saldırgan, MikroTik İkili Kuşatması ve ERP Altyapısı İzleri
Cowrie SSH honeypot'umuza giren bir saldırgan T-Pot altyapısını keşfetmeye çalıştı — Elasticsearch şifresi ve Docker container listesi sorgulandı. Aynı dönemde MikroTik API (8728) ve Winbox (8291) eş zamanlı hedeflendi; Frappe ERP ve IPMI firmware yönetimi kurumsal altyapı trendine işaret ediyor. regreSSHion (CVE-2024-6387) uyarıları devam ediyor.
Özet
Son yazımızda sin.sh Mirai varyantı ve Solana hedeflemesini raporlamıştık. Bu 36 saatlik pencerede hacim görece sakin kaldı — ama kalite değişti. Üç sinyal öne çıktı: honeypot altyapısını bilen bir saldırgan, MikroTik cihazlarına çift vektörlü saldırı ve kurumsal ERP/firmware sistemlerini tarayan kampanyalar.
Bu yazıda dört gelişmeyi inceliyoruz:
- Honeypot bilincine sahip saldırgan — T-Pot keşif girişimi
- MikroTik ikili kuşatması: API + Winbox eş zamanlı
- Kurumsal altyapı hedefleme: Frappe/ERPNext, SAP, IPMI
- regreSSHion (CVE-2024-6387) ve koordineli credential kampanyaları
Günlük Trend — Yeni Tavan Arayışı
| Tarih | Event | Not |
|---|---|---|
| 8 Nisan | 2.133.808 | Zirve |
| 11 Nisan | 644.610 | Düşüş devam |
| 12 Nisan | 818.111 | Yeniden yükseliş |
| 13 Nisan* | 158.716 | Kısmi (sabah) |
13 Nisan projeksiyon ~650K — 12 Nisan seviyesi korunuyor.
12 Nisan’daki yeniden yükseliş dikkat çekici: 11 Nisan’ın neredeyse %27 üzerinde. DNS amplification trafiği hâlâ Suricata event’lerinin %88’ini oluşturuyor; port 53’e 999K hit geldi. Kampanya zirveyi geçmiş olsa da tamamen söndürülmüş değil.
1. Honeypot’u Bilen Saldırgan — T-Pot Keşif Girişimi
Bu dönemin en ilginç bulgusu bir credential başarısı değil, bir farkındalık testi. SSH honeypot’umuza giren bir saldırgan alışılageldik komutları çalıştırdıktan sonra farklı bir yön çizdi:
Normal Keşif → Hedefli Arama
Tipik bir botnet oturumu şöyle başlar: uname -a, cat /proc/cpuinfo, whoami, free -m. Bu oturumda da öyle başladı. Sonra şu komutlar çalıştırıldı:
# T-Pot Elasticsearch şifresi arama
cat /opt/tpot/docker/elk/secret/.passphrase 2>/dev/null
find /opt/tpot -name "*.env" -o -name ".env" -o -name "passphrase"
ls /opt/tpot/docker/elk/secret/
# Elasticsearch'e kimlik bilgileriyle bağlanma girişimi
curl -sk "https://localhost:64298/_cat/indices?v&s=index" \
-u "elastic:$(cat /opt/tpot/docker/elk/secret/.passphrase)"
# Container envanteri
docker ps --format "table {{.Names}}\t{{.Status}}"Bu komut dizisi iki şeyi kanıtlıyor: saldırgan T-Pot’un dizin yapısını, Elasticsearch portunu ve kimlik doğrulama mekanizmasını önceden biliyor. Rastgele bir tarayıcı değil; T-Pot hakkında araştırma yapmış biri.
Ne Aranıyor?
| Hedef | Neden |
|---|---|
.passphrase dosyası | T-Pot ES Kibana credentials — tüm honeypot verisine erişim |
docker ps | Aktif pot’ları tespit etme, hangisinin gerçek servis olduğunu anlama |
ES _cat/indices | Toplanan IoC veritabanına erişim |
Cowrie bu girişimlerin tamamını başarıyla sahte çıktıyla yanıtladı. Saldırgan gerçek bir sistemde olduğunu düşünerek ilerledi. Ancak bu davranış örüntüsü, honeypot tespiti veya honeypot altyapısına sızma motivasyonunu açıkça gösteriyor.
T-Pot dizin yapısı, ES portu (64298) ve passphrase konumu kamuya açık dokümantasyonda mevcut. Bu saldırgan dokümantasyonu okumuş ve doğrudan uyguladı. Honeypot operatörlerine not: passphrase varsayılan konumunda bırakılmamalı; ES portuna erişim network katmanında kısıtlanmalı.
2. MikroTik İkili Kuşatması — API + Winbox Eş Zamanlı
Önceki yazılarda port 8728 (RouterOS API) bruteforce’unu raporlamıştık. Bu dönemde yeni bir boyut eklendi: port 8291 (Winbox) de eş zamanlı hedefleniyor.
Port Bazında Dağılım (Glutton, 36 Saat)
| Port | Hit | Servis |
|---|---|---|
| 8728 | 591 | RouterOS API — credential bruteforce |
| 8291 | 15 | Winbox GUI — session hijack / CVE |
| 9090 | 50 | Prometheus / web panel |
| 5985 | 33 | WinRM |
| 2375 | 28 | Docker daemon (güvensiz) |
| 102 | 32 | Siemens S7 ICS |
| 502 | 12 | Modbus ICS |
| 623 | 21 | IPMI/BMC |
İki Vektör, Tek Hedef
API (8728): Manticore 0.9.2 → credential bruteforce
45.205.1.5 (289 hit) + 45.205.1.110 (280 hit)
Winbox (8291): Session/CVE keşfi
Farklı IP bloğu — koordinasyon yok, paralel kampanyaPort 8728 ve 8291’in aynı pencerede spike yapması koordineli olmayabilir — ama MikroTik ekosisteminin iki farklı grup tarafından eş zamanlı hedeflenmesi sonucu aynı: MikroTik cihazları yoğun hedef altında. API üzerinden başarılı erişim tam yönetici kontrolü sağlar; Winbox session CVE’leri de aynı sonuca farklı yoldan ulaşır.
Port 8728 ve 8291'i WAN'dan kapalı tutun. API-SSL (8729) kullanıyorsanız IP whitelist zorunlu. Winbox'ta son CVE'ler için ROS 7.x'e güncelleyin.
3. Kurumsal Altyapı İzleri
Bu dönemin sessiz ama anlamlı sinyali: saldırılar genel IoT/server hedeflemenin yanında kurumsal sistemlere uzanıyor.
Frappe / ERPNext Hedefleme
Cowrie’de frappe/frappe11 credential kombinasyonu birden fazla farklı IP’den denendi:
66.154.124.165 frappe:frappe11 → başarılı login (honeypot)
195.199.210.194 frappe:frappe11 → başarılı login (honeypot)frappe — Frappe Framework ve ERPNext’in varsayılan kullanıcı adı. ERPNext, Türkiye dahil küresel ölçekte KOBİ’lerin kullandığı açık kaynak ERP sistemi. Varsayılan kurulumda frappe kullanıcısı sistem erişimine sahip.
| Username | Bağlam |
|---|---|
frappe | Frappe/ERPNext framework default user |
nobody | Unix system account |
steam | Gaming server / Steam Workshop |
operator | Ağ cihazı yönetim hesabı |
supervisor | Supervisord process manager |
SAP Port 50000
Glutton’da port 50000 (SAP Application Server, SAP Dispatcher) 23 istek aldı. SAP erişimi = kurumsal ERP veritabanı erişimi. Bu port genel internet’e asla açık olmamalı.
IPMI/BMC Port 623
21 hit — IPMI (Intelligent Platform Management Interface), sunucu firmware yönetim arayüzü. Port 623 üzerinden başarılı erişim işletim sisteminden bağımsız sunucu kontrolü sağlar. 2013’ten beri bilinen IPMI açıkları (CVE-2013-4786 dahil) hâlâ taranıyor.
| Hedef | Port | Erişim Verirse |
|---|---|---|
| SAP Application Server | 50000 | Kurumsal ERP, finansal veriler |
| IPMI/BMC | 623 | Fiziksel sunucu kontrolü, OS bypass |
| Kubernetes API | 6443 | Container orchestration tam kontrol |
| Docker daemon | 2375 | Container escape, host erişimi |
Bu tablo orta ölçekli kurumsal altyapıyı iyi tanımlıyor: Kubernetes + Docker + bare-metal (IPMI) + ERP. Aynı profili tarayan koordineli bir altyapı keşfi operasyonu olduğunu düşündürüyor.
4. regreSSHion ve Credential Kampanyaları
CVE-2024-6387 — regreSSHion Devam Ediyor
ET INFO Server Responded with Vulnerable OpenSSH (CVE-2024-6387): 256 alertSuricata bu imzayı, honeypot ağındaki sistemlerin vulnerable OpenSSH versiyonu bildirdiğini tespit ettiğinde tetikliyor. 256 ayrı gözlem — farklı kaynak IP’lerden hedef sistemlerde regreSSHion zaafiyeti aranıyor. Temmuz 2024’te açıklanan bu race condition açığı (OpenSSH < 9.8p1) 18 yıl sonra yeniden ortaya çıktı ve hâlâ taranan sistemlerde görülüyor.
Koordineli nobody/nobody4 Kampanyası
Cowrie’de öne çıkan yeni bir credential pattern: nobody / nobody4
173.25.186.130 nobody:nobody4 → login.success
188.186.183.88 nobody:nobody4 → login.success
187.8.120.90 nobody:nobody4 → login.success
68.7.114.69 nobody:nobody4 → login.successDört farklı /24 bloğundan aynı credential kombinasyonu — bu koordineli bir kampanya. nobody Unix’in system account’u; genellikle sınırlı yetkilere sahip. Ancak yanlış yapılandırılmış sistemlerde yüksek yetki taşıyabilir (özellikle NFS mount’ları ve bazı web sunucusu kurulumları).
Dönemin Credential Profili
| Credential | IP Sayısı | Not |
|---|---|---|
nobody:nobody4 | 4 | Koordineli, sistem hesabı hedefleme |
root:1QAZ2WSX | 3 | Klavye pattern (1Q2W3E4R varyantı) |
frappe:frappe11 | 2 | ERP varsayılan |
steam:Thestablesteam123 | 1 | Gaming server hedefleme |
root:Ty123456@ | 3 | Özel karakter içeren brute |
solv:solv | 1 | Solana kampanyası devam ediyor |
Coğrafi Tablo — Hetzner ve DreamHost Ön Plana Çıktı
| Ülke | Event | Dominant ASN |
|---|---|---|
| Almanya | 292.080 | Hetzner Online (254K) |
| ABD | 289.630 | DreamHost (197K) + GoDaddy (53K) |
| İsrail | 154.911 | Bezeq International |
| İngiltere | 143.271 | — |
| Brezilya | 48.564 | BITNET TELECOM |
| Litvanya | 41.239 | — |
| Pakistan | 18.669 | Pakistan Telecom |
Önceki dönemlerde ABD (Hostinger dahil) dominant iken bu pencerede Almanya ve ABD neredeyse eşit. İsrail üçüncü sıraya yerleşti — Bezeq International’dan 154K event geldi; bu, 84.109.14.0/24 subnet’inin DNS amplification trafiğini yansıtıyor.
ICS/SCADA Sinyalleri
Glutton’da endüstriyel kontrol sistemi portları hedeflenmeye devam ediyor:
| Port | Protokol | Hit |
|---|---|---|
| 102 | Siemens S7 | 32 |
| 502 | Modbus | 12 |
| 623 | IPMI/BMC | 21 |
ConPot’ta bu dönemde yeni hit gelmedi (önceki pencerede 21 SNMP MIB sorgusu kaydedilmişti). Glutton’daki S7 ve Modbus hit’leri düşük hacimli ama sürekli — bu bir tarama altyapısının rutin internet sweep’i gibi görünüyor.
Siemens S7 (102), Modbus (502) ve BACnet (47808) portları internet erişimli fiziksel altyapıya asla doğrudan bağlı olmamalı. Bu portlara gelen her trafik ağınızın dışına ulaşıyorsa acil müdahale gerekiyor.
Öne Çıkan IOC’lar
| Gösterge | Tür | Bağlam |
|---|---|---|
45.205.1.5 | IP | MikroTik API bruteforce, 289 hit |
45.205.1.110 | IP | MikroTik API bruteforce, 280 hit |
167.235.101.42 | IP | DNS amplification, 253K event |
173.236.195.225 | IP | DNS amplification, 197K event |
nobody:nobody4 | Credential | Koordineli Unix system account hedefleme |
frappe:frappe11 | Credential | ERPNext varsayılan — aktif kampanya |
root:1QAZ2WSX | Credential | Klavye pattern, çok kaynak |
/opt/tpot/docker/elk/secret/.passphrase | Path | Honeypot altyapı keşif girişimi |
Sonuç
Bu 36 saatlik pencere hacim değil kalite getirdi. DNS amplification fırtınası sürekli arka plan gürültüsü olmaya devam ederken üç yeni sinyal öne çıktı: altyapı farkındalıklı saldırgan (honeypot keşif girişimi), kurumsal sistem hedefleme (Frappe ERP, SAP, IPMI) ve MikroTik çifte saldırı vektörü. regreSSHion alert’leri 256 kez tetiklenmeye devam ediyor — 2024’ün açığı 2026’da hâlâ avlanıyor.
Bir sonraki bültende: Linux credential kampanyalarının ülke bazında dağılımı ve MikroTik API bruteforce’un coğrafi kökeni üzerine daha derin analiz.
Tüm veriler OPSEC filtreli. SiberKale altyapı IP’leri, RFC1918, CGNAT ve bilinen tarayıcı servisleri (Shodan, Censys, Palo Alto Xpanse) filtrelenmiştir. IOC’lar CC0 lisansı altında serbesttir.