TR Radar #3: DoublePulsar ve 185.67.33.0/24 Bloğu
52 saatte TR kaynaklı 18.492 olay, 1.482 DoublePulsar. BTK tahsisli 185.67.33.0/24 bloğundan 7 IP koordineli; infekte Windows host tabanı.
Özet
TR Radar #2’de Türkiye’den gelen aktivitenin Türk Telekom ve Vodafone residential blokları üzerinden yayıldığını raporlamıştık. 52 saatlik yeni pencerede tablo keskinleşti: Türkiye’den gelen 18.492 olay artık dört ayrı yoğunlaşma bölgesi gösteriyor ve bunlardan biri — 185.67.33.0/24 bloğundan koordineli görünüyor.
Daha önemlisi: Türkiye saldırı hedefi değil, saldırı kaynağı pozisyonunda. TR’den çıkan olayların büyük çoğunluğu 443 portuna TLS fingerprinting, 445 portuna SMB tarama ve DoublePulsar Backdoor imzalarıyla eşleşiyor.
Genel Dağılım
52 saat toplam: 18.492 olay · %0.36 dünya payı · 2. sıra yükseliş yok (16. sırada, bültenle aynı)
Top Türkiye Kaynakları
| IP | Hit | ASN | Pay |
|---|---|---|---|
| 88.247.8.10 | 11.179 | Turk Telekom | 🔴 %60 |
| 176.237.194.250 | 1.478 | BTK / dağıtılmış | %8 |
| 185.67.33.243 | 758 | BTK | %4 |
| 185.67.33.193 | 707 | BTK | %4 |
| 185.67.33.207 | 532 | BTK | %3 |
| 185.67.33.235 | 510 | BTK | %3 |
| 185.67.33.213 | 487 | BTK | %3 |
| 185.67.33.218 | 417 | BTK | %2 |
| 185.67.33.201 | 194 | BTK | %1 |
| 77.83.245.135 | 418 | Global Connectivity | %2 |
| 185.34.131.44 | 279 | Veganet | %2 |
| 95.173.161.146 | 159 | Netinternet | %1 |
| 78.186.117.164 | 140 | Türk Telekom | <%1 |
| 91.93.183.92 | 116 | — | <%1 |
Top ASN Dağılımı
| ASN | Hit | Pay |
|---|---|---|
| Turk Telekom | 11.423 | %62 |
| BTK (Bilgi Teknolojileri ve İletişim Kurumu) | 3.848 | %21 |
| Turkcell İletişim Hizmetleri | 1.525 | %8 |
| Atlantis Telekomünikasyon Bilişim | 620 | %3 |
| Global Connectivity Solutions LLP | 418 | %2 |
| Veganet Teknolojileri ve Hizmetleri | 279 | %2 |
| Netinternet Bilişim Teknolojileri | 159 | %1 |
| Superonline İletişim Hizmetleri | 144 | %1 |
Bulgu #1 — Tek IP’nin Dominansı (88.247.8.10)
88.247.8.10 Türk Telekom altyapısında residential/consumer bloğu içinde yer alıyor. Tek başına 11.179 olay üretti — Türkiye trafiğinin %60’ı. Bu rakam tek bir kullanıcının manuel saldırı yapmasıyla açıklanamaz; cihaz büyük ihtimalle infekte durumda ve otomatik olarak dışarıya tarama yapıyor.
Olay Profili
Bu IP’nin ürettiği 11.179 olayın port dağılımı:
| Port | Hit | Servis |
|---|---|---|
| 443 | ~7.200 | TLS SNI tarama / fingerprint |
| 445 | ~1.400 | SMB tarama |
| 8080 | ~600 | HTTP-alt |
| 80 | ~500 | HTTP |
Port 443 dominansı TLS fingerprinting veya SSL banner sweep yapıldığını gösteriyor — tipik Censys/Shodan tarzı davranış, ama residential IP’den gelmesi anlamlı değil. Port 445’teki 1.400 hit ise SMB üzerinden yayılma denemesi.
Olası Senaryo
Bu profil IoT botnet veya compromised Windows workstation davranışına uyuyor. Kullanıcının bilgisi dışında bir bot ajanı sürekli tarama yapıyor; ISP cihazı durdurmadığı sürece bu devam edecek.
88.247.8.10 residential CGNAT çıkışı olabilir (birden fazla abonenin aynı IP üzerinden internete çıkması). Eğer CGNAT ise gerçek kaynak NAT haritası üzerinden tespit edilmeli. Türk Telekom CSIRT'ine bildirim için IOC listesinde yer alıyor.
Bulgu #2 — 185.67.33.0/24 BTK Bloğu Koordineli
Aynı /24 bloğundan 7 farklı IP (185.67.33.193, 201, 207, 213, 218, 235, 243) toplam 3.605 olay üretti — TR trafiğinin %19.5’i. Bir tek /24 bloğunun %20 paya ulaşması tesadüf değil.
ASN kaydı “Bilgi Teknolojileri ve İletişim Kurumu” (BTK) gösteriyor. BTK’nın doğrudan consumer/business IP dağıtımı yapmadığını biliyoruz; bu blok muhtemelen bir alt ISP veya hosting provider’a tahsisli. Veganet ve Netinternet gibi alt ISP’lerin BTK bloklarını kullanabildiği biliniyor.
Olay Profili (185.67.33.0/24 tümü)
| Metrik | Değer |
|---|---|
| Benzersiz IP sayısı | 7 |
| Toplam hit | 3.605 |
| Ortalama hit/IP | 515 |
| Ortak port | Port 443 dominant |
| Ortak imza | SURICATA STREAM reassembly depth reached (620 hit — tümü bu /24’ten) |
SURICATA STREAM reassembly depth reached imzasının tüm tetiklemelerinin bu /24 bloğundan gelmesi ayırt edici: bu imza, bir bağlantının çok fazla parçalanmış paket göndermesi durumunda tetiklenir. Sıradan tarama davranışı değil; bu blok özel olarak paket parçalama ile IDS atlatmaya çalışıyor.
Bu davranış hedefli bir operasyona işaret ediyor — kim olduğunu henüz bilmiyoruz, ama teknik beceri seviyesi residential infekte host’tan yüksek.
Bulgu #3 — Türkiye’den Çıkan DoublePulsar
TR Suricata alert’lerinin %80’i tek bir imzadan:
| İmza | Hit | Oran |
|---|---|---|
| ET EXPLOIT [PTsecurity] DoublePulsar Backdoor installation communication | 1.482 | %80 |
| SURICATA STREAM reassembly depth reached | 620 | %33 (overlap var) |
| ET SCAN Nmap Scripting Engine User-Agent | 51 | %3 |
| ET INFO SSH session expected port | 19 | %1 |
| ET SCAN MSSQL 1433 | 18 | %1 |
| ET SCAN NMAP -sS 1024 | 10 | %1 |
| ET SCAN MySQL 3306 | 8 | %0.4 |
| GPL NETBIOS SMB-DS IPC$ unicode share | 8 | %0.4 |
| ET DOS DNS Amplification Attack Inbound | 6 | %0.3 |
DoublePulsar, 2017 Shadow Brokers sızıntısında ortaya çıkan NSA-origin SMB backdoor’dur. Bir Windows host DoublePulsar ile enfekte olduğunda, SMB protokolü üzerinden dışarıya enfekte olmayan host aramaya başlar. TR’den 1.482 DoublePulsar olayı bize ulaştıysa bu olaylar başka honeypot ve güvenlik sensörlerine de ulaşıyor demektir.
Ne Anlama Geliyor
- Türkiye’de ciddi bir infekte Windows host tabanı var. DoublePulsar enfeksiyonu genellikle WannaCry/NotPetya dalgasından kalma sistemlerde görülür. 9 yıl sonra hâlâ yamanmamış Windows 7/XP sistemleri olduğunu gösteriyor.
- Enfekte host’lar pasif değil — aktif yayılma arıyorlar. SMB 445 üzerinden otomatik tarama yapıyorlar; honeypot’umuz da bu taramaların bir hedefi oldu.
- Türk Telekom ve BTK blokları ana kaynaklar. Kaynak coğrafyası sıkışık; temizlik çabası ISP seviyesinde yapılırsa yüksek verimle sonuç alınabilir.
TR’den Hedeflenen Portlar
| Port | Hit | Oran | Servis |
|---|---|---|---|
| 443 | 13.019 | %70 | TLS/HTTPS |
| 445 | 1.681 | %9 | SMB — DoublePulsar yayılma |
| 8080 | 690 | %4 | HTTP-alt |
| 80 | 650 | %4 | HTTP |
| 22 | 406 | %2 | SSH |
| 1433 | 259 | %1 | MSSQL |
| 993 | 239 | %1 | IMAPS |
| 135 | 95 | <%1 | MS-RPC |
| 9090 | 79 | <%1 | Web UI |
| 21 | 76 | <%1 | FTP |
Port 443’ün dominant olması TLS fingerprinting’in yüksek hacimli olduğunu gösteriyor; ama 445 üzerinden 1.681 SMB olayı DoublePulsar sinyalini doğruluyor.
Türk Telekom ve BTK için Tavsiyeler
Türkiye'den çıkan DoublePulsar ve SMB yayılma trafiği, yıllardır yamanmamış residential Windows sistemlerinden kaynaklanıyor gibi görünüyor. ISP tarafında şu adımlar yüksek etki/düşük maliyet:
- Residential port 445 çıkışını kapatın. Normal kullanıcıların internet üzerinden SMB göndermesi için hiçbir meşru sebep yok. Türk Telekom, Turkcell, Vodafone residential blokları için bu tek değişiklik DoublePulsar yayılımının neredeyse tamamını durdurur.
- 88.247.8.10 ve 185.67.33.0/24 bloğu için abuse raporu. IOC listesi aşağıda.
- 185.67.33.0/24 gerçek sahibini belirleyin. BTK ASN gösteriyor ama gerçek işletmeci büyük ihtimalle alt ISP; koordinasyon bu düzeyde yapılmalı.
TR Radar Top IOC’lar
| Gösterge | Tür | Bağlam |
|---|---|---|
88.247.8.10 | IP | Türk Telekom — TR trafiğinin %60’ı, muhtemel infekte |
185.67.33.193 | IP | BTK bloğu — koordineli /24, 707 hit |
185.67.33.207 | IP | BTK bloğu — 532 hit |
185.67.33.213 | IP | BTK bloğu — 487 hit |
185.67.33.218 | IP | BTK bloğu — 417 hit |
185.67.33.235 | IP | BTK bloğu — 510 hit |
185.67.33.243 | IP | BTK bloğu — 758 hit |
185.67.33.201 | IP | BTK bloğu — 194 hit |
176.237.194.250 | IP | BTK dağıtılmış — 1.478 hit |
77.83.245.135 | IP | Global Connectivity — 418 hit |
185.34.131.44 | IP | Veganet — 279 hit |
95.173.161.146 | IP | Netinternet — 159 hit |
Sonuç
TR Radar #3 şunu söylüyor: Türkiye internet kullanıcı tabanında ciddi bir eski Windows enfeksiyon havuzu yaşıyor. Honeypot’umuza gelen Türkçe trafiğin %80’i DoublePulsar backdoor imzasıyla eşleşiyor; trafiğin %60’ı tek bir Turk Telekom IP’sinden geliyor. 185.67.33.0/24 BTK bloğu kendisini IDS’ten gizlemek için paket parçalama kullanıyor — bu infekte host davranışının ötesinde, hedefli bir operatörün varlığını düşündürüyor.
Her iki sinyal de ISP tarafında düşük maliyetli müdahale ile büyük ölçüde azaltılabilir: port 445 residential çıkışını kapatmak.
Bir sonraki TR Radar’da: Türkiye’deki GPON ONT default credential oranı, Turkcell ve Superonline residential bloklarının aktivite profili ve BTK ASN altındaki alt-ISP haritası üzerine alan çalışması.
Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir.
Tüm veriler OPSEC filtreli. SiberKale altyapı IP’leri, RFC1918, CGNAT ve bilinen tarayıcı servisleri filtrelenmiştir. IOC’lar CC0 lisansı altında serbesttir.
SiberKale Tellal — Threat Intelligence Feed · tellal.net