Winbox 57x Patlaması, 345gs Muamması ve GPON Avcıları
MikroTik Winbox port 8291 taraması 15 hitten 858'e fırladı; SSH honeypot'ta `345gs5662d34` 1.200 kez, GPON default ile 12 başarılı giriş.
Özet
Önceki deep-dive MikroTik API (port 8728) ve Winbox (port 8291) için ikili kuşatmaya dikkat çekiyordu. O raporda 8291 portu 15 olay ile neredeyse arka plan seviyesindeydi. 52 saat sonra bu rakam 858 oldu — 57 katlık artış.
Aynı pencerede Cowrie SSH honeypot’u iki yeni sinyal daha üretti: açıklanamayan bir credential paterni (345gs5662d34) ve Alcatel-Lucent GPON ONT default şifresi (AdminGPON:ALC#FGU) ile 12 başarılı honeypot girişi. Bu deep-dive’da dört gelişmeyi inceliyoruz:
- Winbox (port 8291) 57× patlaması — kim tarıyor?
345gs5662d34muamması — anlamsız sabit dize nereden geliyor?- GPON ONT avcıları — AdminGPON default ve Dasan CVE’leri
- VNC 5900 rönesansı ve iki yeni CVE (CVE-2025-55182, CVE-2024-4577)
1. Winbox (Port 8291) 57× Patlaması
Port 8291 MikroTik RouterOS’ta Winbox GUI erişim portudur. RouterOS API (8728) kadar popüler değildir; tipik tarama trafiği günlük birkaç düzine hit ile sınırlıdır. 13 Nisan öncesinde bültende 15 olay gözlemlemiştik. 52 saatlik pencerede 858 olay kaydedildi.
Kaynak Dağılımı
| IP | Hit | ASN | Not |
|---|---|---|---|
| 66.132.195.107 | 114 | DataForge / Censys-benzeri | Scan hub |
| 81.29.142.6 | 101 | Virtual Systems | 🆕 Yeni |
| 167.94.146.63 | 99 | Censys, Inc. | Meşru scanner ama yoğun |
| 3.129.187.38 | 61 | Amazon AWS | Cloud scan |
| 106.75.5.16 | 55 | UCloud CN | Çin scan |
| 172.237.27.147 | 53 | Akamai Linode | Cloud scan |
| 3.131.220.121 | 45 | Amazon AWS | Cloud scan |
| 172.178.83.104 | 24 | Microsoft Azure | Cloud scan |
| 66.132.172.205 | 16 | DataForge | Scan hub |
| 66.132.224.90 | 16 | DataForge | Scan hub |
İki Gözlem
Birincisi, kaynak dağılımı Censys + AWS + Azure + Linode ağırlıklı. Bu, tarama servisleri (Censys, LeakIX, ShadowServer) ile bilerek taramayı kamuflajlayan operatörlerin ortak motorunu kullanıyor görüntüsü veriyor. Censys gerçek yoğunluğunu böyle ani 99 hit/52 saat seviyesine çıkarmaz; yanı sıra Censys normalde port 8291’i taradığında hit başına 1–2 olay üretir, biz IP başına 50–114 görüyoruz.
İkincisi, bu kaynakların hiçbiri port 8728 (API bruteforce) listesinde değil. İki port aynı anda patlamış ama farklı IP havuzundan. Bu, koordine olmayan iki ayrı grubun MikroTik ekosistemini eş zamanlı hedeflemesi anlamına geliyor:
- API (8728) →
45.205.1.5ve45.205.1.110— credential bruteforce (bültendeki 589 hitten 1.524 hite çıktı) - Winbox (8291) → Cloud + Censys kamuflajlı aktörler — büyük ihtimalle session/CVE keşfi
Hem 8728 hem 8291 tarama hacminde büyük artış var. Winbox tarafında aktivite aniden 57× yükseldiğinde, bu iki şeyi düşündürür: ya yeni bir CVE (public veya 0-day) etrafında keşif dalgası var, ya da daha önce port 80 üzerinden MikroTik yönetim arayüzüne sahip tarafların 8291 portuna geri döndüğü bir pivoting kampanyası başladı. Her iki durumda da Winbox WAN'a açıksa derhal kapatın, IP whitelist zorunlu.
2. 345gs5662d34 Muamması
Cowrie’de bu pencerede en dikkat çekici sinyal bir credential paterniydi:
345gs5662d34:345gs5662d34 → 556 login.failed (self-matched)
root:3245gs5662d34 → 262
ubuntu:3245gs5662d34 → 34
user:3245gs5662d34 → 25
odoo:3245gs5662d34 → 16
steam:3245gs5662d34 → 8
345gs5662d34 (başarılı) → 26 login.successToplam 1.200+ olay — admin:admin’in hemen arkasında ikinci en yoğun credential.
Pattern’in Anatomisi
345gsve3245gs— prefix varyasyonu, muhtemelen inkremental/counter farkı5662d34— sabit 7 karakterli suffix- Kendini-eşleyen (self-matched) kullanıcı/parola çifti — bu bir ASCII scrambled anahtar ya da rastgele üretilmiş bir sabit string
- Aynı parolanın 7 farklı kullanıcı adıyla denenmesi — tek bir yolun listesi, birden fazla operator değil
Olası Kaynaklar (Spekülasyon, doğrulama gerekli)
| Hipotez | Destek | Zayıflık |
|---|---|---|
| Belirli bir IoT firmware default | Çok sayıda kaynak IP (birbirinden bağımsız) → geniş dağıtım | Hangi cihaz? VT/Pastebin’de pattern henüz indekslenmemiş |
| Eski bir leaked parola listesi | Listenin üst sıralarında olduğu için çok yüksek hit | 7 kullanıcıya uygulanması wordlist değil, hedefli |
| XMRig/Mirai varyantı keygen output | Sabit prefix + random suffix IoT bot davranışına uyar | Ama suffix de sabit |
| Bir MSP/hosting provider’ının default root şifresi | odoo ve steam gibi hesaplarla birlikte denenmesi anlamlı | Hangi provider? |
Bu pattern için bir örnek komut gözlemlenmedi — saldırgan honeypot’a girdiği anda sıradan botnet recon’una geçiyor (uname -a, cat /proc/cpuinfo, crontab -l). Yani pattern bir payload stage-0 değil, ön kimlik doğrulama aşamasına ait.
`345gs5662d34` veya `3245gs5662d34` dizelerini herhangi bir malware analizi, router firmware dump'ı veya leaked wordlist'te gördüyseniz bize ulaşın. Bu bir sonraki takedown-tracker yazısının konusu olabilir.
3. GPON ONT Avcıları — AdminGPON ve Dasan CVE’leri
Dönemin sessiz ama ciddi sinyallerinden biri AdminGPON:ALC#FGU credential’ı ile 12 başarılı honeypot girişi. AdminGPON + ALC#FGU kombinasyonu, Alcatel-Lucent ISAM-V/IQ GPON ONT (Optical Network Terminal) cihazlarının default fabrika şifresidir. FGU = Fiber Gateway Unit.
Dasan GPON CVE’leri Aynı Pencerede Aktif
Suricata’da üç farklı Dasan GPON CVE alert’i gözlemlendi:
| CVE | Hit | Açıklama |
|---|---|---|
| CVE-2018-10561 | 4 | Dasan GPON authentication bypass |
| CVE-2018-10562 | 4 | Dasan GPON command injection |
| CVE-2024-3721 | 39 | Neko IPTV / TBK DVR varyantı (GPON ONT’leri de etkiliyor) |
Bu üçünü birlikte değerlendirince şablon belirginleşiyor:
- Dasan CVE’leriyle auth bypass (2018’den beri) — başarı durumunda root shell
- Default credential (AdminGPON:ALC#FGU) — Alcatel-Lucent ONT’lerde başarılı giriş
- Neko IPTV exploit (CVE-2024-3721) — modern GPON ekipmanı hedeflemesi
Hedef profili: ISP aboneleri. GPON ONT kullanıcılar için şeffaftır; ISP tarafından kurulur. Default credential değiştirilmediğinde (ki çoğu ISP müşterisi bunu bilmez), dışarıdan gelen tek bir TCP bağlantısı ile cihaz hijack edilebilir. Ardından:
- ONT → residential proxy havuzu
- ONT → DNS amplification reflektörü
- ONT → IPTV hijacking / local network pivoting
GPON ONT cihazınızda default parolayı değiştirin. Alcatel-Lucent ISAM-V/IQ ailesi için default `AdminGPON:ALC#FGU` — eğer değişmediyse cihazınız dışarıdan gelen birkaç otomatik saldırı için hazırdır. ISP'lerin de cihaz provizyonunda zorunlu parola değişimi uygulaması bu riski büyük ölçüde kapatır.
4. VNC 5900 Rönesansı ve İki Yeni CVE
Port 5900 (VNC) olayları bültende 577 idi; şimdi 58.185. Aynı dönemde VNC ile ilgili iki Suricata imzası öne çıktı:
| İmza | Hit | Anlam |
|---|---|---|
| ET EXPLOIT VNC Server Not Requiring Authentication (case 2) | 1.373 | CVE-2006-2369 — RealVNC auth bypass |
| ET INFO VNC Authentication Failure | 1.373 | VNC’ye bruteforce denemesi |
| GPL INFO VNC server response | 13.228 | VNC keşif paketi |
CVE-2006-2369 yirmi yaşında olmasına rağmen, hâlâ internete açık eski RealVNC sürümlerine sahip cihazlar var. 13.228 VNC server yanıt paketinin gözlenmesi, tarayıcıların VNC sunucusu bulduklarında fingerprint için şu kalıbı kullandığını gösteriyor:
- Geniş port 5900 SYN tarama (58K olay)
- Bağlantı kurulan hedeflere version banner sorgulama
- Eski RealVNC tespit edilirse CVE-2006-2369 exploit’i
CVE-2025-55182 — Dönemin İlk 2025 CVE’si
9 Suricata alert ile görülen CVE-2025-55182 bu pencerede ilk kez göründü. Public CVE veritabanında hâlâ az bilgi var; aktif tarama dalgası başladıysa bir sonraki haftanın manşetlerinden biri olabilir. Bültende takip alanına alındı.
CVE-2024-4577 — PHP-CGI Windows argv Injection
12 alert ile bu pencerede görüldü. Temmuz 2024’te açıklanan bu kritik açık, PHP’nin Windows sürümlerinde CGI olarak çalıştırıldığında argv argümanlarının yetersiz sanitize edilmesinden kaynaklanıyor. Hedef: Windows Server üzerinde PHP çalıştıran (XAMPP, Wamp, IIS + PHP-FGCI) sunucular.
Cowrie’den: Post-Auth Botnet Davranış Kalıpları
Bu pencerede başarılı honeypot girişlerinden sonra kaydedilen komutlar botnet ekosisteminin iç dinamiklerini ortaya koyuyor:
1. Rakip Botnet Temizleme (270 olay)
rm -rf /tmp/secure.sh; rm -rf /tmp/auth.sh
pkill -9 secure.sh; pkill -9 auth.sh
echo > /etc/hosts/tmp/secure.sh ve /tmp/auth.sh rakip botnet dropper’ları. Yeni gelen bot, eski rakiplerini öldürüp onların dosyalarını siliyor, DNS override’larını kapatmak için /etc/hosts’u da boşaltıyor.
2. Parola Sabitleme (20+ olay, 20+ benzersiz rastgele parola)
echo "$BLANKPASS.\n86DOR7iMQNQu\n86DOR7iMQNQu\n" | passwd
echo "$BLANKPASS.\nAWxhqSOvN7PI\nAWxhqSOvN7PI\n" | passwd
echo "1111\n2jaGcsEqdQL5\n2jaGcsEqdQL5\n" | passwdOtomatik üretilmiş 12 karakterli rastgele parolalar ile root şifresini değiştirip kendini kilitliyor. Böylece başka saldırganlar bruteforce ile aynı cihaza giremiyor.
3. Kripto Rig Avı (3 olay)
locate D877F783D5D3EF8Cs
ps -ef | grep '[Mm]iner'D877F783D5D3EF8C Bitmain Antminer firmware signature’ı. Botnet, hedef cihaz bir ASIC miner mı diye kontrol ediyor. Eğer öyleyse özel bir dropper indiriliyor olabilir.
4. Telegram Credential Theft (3 olay)
ls -la ~/.local/share/TelegramDesktop/tdata /home/*/.local/share/TelegramDesktop/tdataTelegram Desktop’ın session veritabanı arama. Başarılı olursa Telegram hesapları çalınabilir.
5. MikroTik Awareness (4 olay)
/ip cloud printCowrie bir Unix shell simüle ediyor ama bot yine de RouterOS komutu gönderiyor. Bu, botnet’in polyglot hedefli olduğunu gösteriyor — hedefin Unix mi MikroTik mi olduğunu bilmeden her iki komut setini gönderebiliyor.
DoublePulsar ve Conficker Rönesansı
| İmza | Hit |
|---|---|
| ET EXPLOIT [PTsecurity] DoublePulsar Backdoor installation communication | 11.847 |
| KEYPLUG/Downadup/Conficker-C P2P encrypted traffic (4 varyant) | 8.517 |
DoublePulsar 2017 ShadowBrokers sızıntısının bir parçası; Conficker 2008’den beri biliniyor. İkisi de 9 ve 17 yaşında, ama 52 saatlik pencerede toplam 20.364 event ürettiler. Bu rakam bültendeki DoublePulsar’ın 10 katı, Conficker’ın ise sıfırdan ilk kez görünür boyuta çıkması.
Neden şimdi? Yeni bir şey değil — her iki malware de internet tabanında enfekte host havuzları tutuyor. Gerçek sebep büyük olasılıkla honeypot ağımızın keşfedilmesi ve kendi ağlarına yeni bir sensör eklendiğinin fark edilmesi: mevcut Conficker P2P trafiği ve DoublePulsar enfekte host’larından gelen rutin tarama trafiği, önceden zaten vardı ama bu pencerede kapsama alanımıza girdi.
ICS/SCADA ve Kurumsal Tarama
Bülten “kurumsal altyapı izleri” olarak işaretlediği tüm portlar patladı:
| Port | Servis | Önceki | Şimdi | Artış |
|---|---|---|---|---|
| 50000 | SAP Application Server | 23 | 573 | 25× |
| 6443 | Kubernetes API | 14 | 496 | 35× |
| 623 | IPMI/BMC | 21 | 308 | 15× |
| 2375 | Docker daemon | 28 | 732 | 26× |
| 502 | Modbus (ICS) | 12 | 610 | 51× |
| 102 | Siemens S7 (ICS) | 32 | 580 | 18× |
Modbus 50× ve SAP 25× en dikkat çekici. Bu iki servis sıradan internet taramasına girmez; hedefli keşif ister. Motorlu bir operasyon bu pencerede kurumsal/endüstriyel hedef profilini topluyor gibi görünüyor.
Modbus (502), Siemens S7 (102), SAP Application Server (50000), IPMI/BMC (623), Docker daemon (2375) ve Kubernetes API (6443) portları asla WAN'a açık olmamalı. Bu portların aynı 52 saatte 15–51× artması tesadüf değil; koordineli bir internet keşif dalgası sürüyor. Eğer bu portlardan birinde dışarıdan gelen trafik görüyorsanız, acilen network katmanında kapatın ve son 7 günlük erişim loglarını inceleyin.
Öne Çıkan IOC’lar
| Gösterge | Tür | Bağlam |
|---|---|---|
66.132.195.107 | IP | Winbox 8291 #1 scanner (114 hit) |
81.29.142.6 | IP | Winbox 8291 #2 — yeni (101 hit) |
167.94.146.63 | IP | Censys Inc — anormal yoğunluk (99 hit) |
3.129.187.38, 3.131.220.121 | IP | AWS Winbox scanner |
172.178.83.104 | IP | Azure Winbox scanner |
106.75.5.16 | IP | UCloud CN Winbox scanner |
45.205.1.5, 45.205.1.110 | IP | MikroTik API bruteforce (halen aktif — 1.524 hit) |
185.246.128.133 | IP | Cowrie’de 75 başarılı giriş |
94.154.35.215 | IP | Cowrie 59 başarılı giriş |
178.16.54.226 | IP | Cowrie 26 başarılı giriş |
345gs5662d34:345gs5662d34 | Credential | 🔴 Muamma credential pattern |
root:3245gs5662d34 | Credential | Aynı patternin varyantı |
AdminGPON:ALC#FGU | Credential | Alcatel-Lucent GPON ONT default |
odoo:odoo22 | Credential | Odoo ERP default |
ts3server:ts3server | Credential | TeamSpeak 3 server default |
CVE-2025-55182 | CVE | Dönemin ilk 2025 CVE’si |
CVE-2024-4577 | CVE | PHP-CGI Windows argv injection |
CVE-2024-3721 | CVE | Neko IPTV / TBK DVR (GPON ONT varyantı) |
CVE-2018-10561, CVE-2018-10562 | CVE | Dasan GPON aktif tarama |
D877F783D5D3EF8Cs | String | Bitmain Antminer signature (botnet tarafından aranıyor) |
/tmp/secure.sh, /tmp/auth.sh | Path | Rakip botnet dropper’ları (270 kill event) |
Sonuç
Bu 52 saatlik pencere bültenin “kalite değişti” tespitini genişletti. Niceliksel patlama (5.14M event, 14 Nisan’daki 2.70M rekoru) yeni bir zirve belirledi; ama nitelik tarafında dört yeni sinyal öne çıktı: Winbox’ı sistematik olarak sorgulayan cloud-kamuflajlı operatörler, açıklanamayan 345gs5662d34 credential paterni, GPON ONT default parolalarıyla başarılı girişler ve iki yeni CVE (2025-55182, 2024-4577).
Botnet iç dinamikleri Cowrie post-auth komutlarında kendini gösteriyor: rakip temizleme, parola sabitleme, kripto rig avı, Telegram credential theft ve polyglot MikroTik komutları. Bu, tek bir botnet ailesinin değil, en az 3–4 ayrı grubun aynı honeypot ağına aynı anda aktif olduğunu gösteriyor.
Bir sonraki bültende: 345gs5662d34 paterni için yardım çağrısına gelen cevaplar ve Winbox tarama kampanyasının hedef coğrafyası analizi.
Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir.
Tüm veriler OPSEC filtreli. SiberKale altyapı IP’leri, RFC1918, CGNAT ve bilinen tarayıcı servisleri filtrelenmiştir. IOC’lar CC0 lisansı altında serbesttir.
SiberKale Tellal — Threat Intelligence Feed · tellal.net