← Tüm Yazılar
DERİN ANALİZ HIGH 25 Nisan 2026

DoublePulsar 4 Günde 4 Kat Arttı — EternalBlue 9 Yıl Sonra Hâlâ Canlı

Honeypot verimiz konuşuyor: 22-25 Nisan arasında DoublePulsar/EternalBlue taraması 4.432'den 16.241'e fırladı. MS17-010 yamalamayanlar için tehdit çok gerçek.

📅Veri dönemi: 22–25 Nisan 2026 · OPSEC-filtreli · DoublePulsar odaklı analiz

Açılış: 9 Yıl Sonra 16 Bin Hit

2017 yılında NSA’in ShadowBrokers sızıntısıyla dünyaya yayılan DoublePulsar implantı ve EternalBlue exploit’i bugün hâlâ aktif. Honeypot altyapımız 22-25 Nisan 2026 arasında toplam 31.626 DoublePulsar/EternalBlue taraması kaydetti. İlk gün 4.432 olan hit sayısı dört gün içinde 16.241’e çıktı — dört kat artış. 2017’deki WannaCry felaketi üzerinden dokuz yıl geçti; yamasız Windows makineler hâlâ bu istismarın hedefinde.

Veri Özeti

31.6264 günlük toplam hit
16.24125 Nis tepe (kısmi gün)
artış katsayısı
Hindistandominant kaynak coğrafyası

4 Günlük Trend Tablosu

TarihHit SayısıGünlük Değişim
22 Nisan 20264.432Başlangıç
23 Nisan 20269.504+114%
24 Nisan 202616.241+71%
25 Nisan 2026 (kısmi)1.449— (gün henüz tamamlanmadı)
Toplam31.6264 günde ~4×

Trend doğrusal artışın ötesinde: 22’den 24’e giderken her gün bir öncekinin yaklaşık iki katına ulaşıldı. Bu profil rastgele bir noise artışını değil, organize ya da ivmelenen bir tarama kampanyasını işaret ediyor.

Coğrafya Analizi — Hindistan Ağırlığı

🔍 Dominant Kaynak: Hindistan ISP Altyapısı

Bu dönemde tespit edilen kaynak IP'lerin büyük çoğunluğu Hindistan'a ait. Özellikle ACT Fibernet gibi büyük ev tipi ISP'lerin alt ağlarından çıkış yapılıyor. Bu profil, kötü amaçlı yazılımla ele geçirilmiş tüketici cihazlarına (infekte ev modemi, Windows PC) işaret ediyor.

Top 3 kaynak IP:

IPCoğrafyaISPYorum
160.19.227.132HindistanYüksek hacimli tarayıcı
106.51.21.248HindistanACT FibernetBüyük ev tipi ISP — muhtemelen infekte CPE
103.188.171.173HindistanHindistan IPv4 havuzu

ACT Fibernet, Hindistan’ın en büyük fiber ISP’lerinden biridir ve milyonlarca ev abonesi barındırır. Bu ağdan kaynaklanan taramalar çoğunlukla botnet operatörlerinin ele geçirdiği son kullanıcı cihazlarını yansıtır — saldırgan Hindistan’da olmak zorunda değildir, altyapıyı kullanıyor olabilir.

Neden Hindistan ağırlıklı?

  • Geniş IPv4 havuzu, düşük patch uygulama oranı
  • Büyük abone tabanı → zombi havuzu için verimli hedef
  • ISP-seviye BCP38 uygulama eksikliği → sahte kaynak IP’ye gerek kalmadan doğrudan çıkış

Teknik Bağlam — DoublePulsar ve EternalBlue Nedir?

EternalBlue (CVE-2017-0144)

EternalBlue, Windows SMBv1 protokolündeki bellek yönetim açığından yararlanır. Etkilenen sistemlerde uzaktan kod çalıştırmaya izin verir; herhangi bir kullanıcı etkileşimi gerekmez. Microsoft Mart 2017’de MS17-010 yaması ile bu açığı kapattı.

Etkilenen sistemler:

  • Windows XP, Vista, 7, 8, Server 2003, 2008, 2012 (yamasız)
  • SMBv1 aktif olan tüm Windows sürümleri

DoublePulsar — Kalıcı Arka Kapı

EternalBlue başarılı istismarın ardından DoublePulsar implantı sisteme yüklenir. Bu arka kapı:

  • Çekirdek seviyesinde (kernel ring 0) çalışır
  • Yeniden başlatma sonrası sessizce hayatta kalabilir
  • Şifreli kanal üzerinden komut alır
  • Ek payload indirmek, lateral movement yapmak için kullanılır
⚠️ ShadowBrokers Sızıntısı — 2017 Nisan

DoublePulsar ve EternalBlue, NSA'in siber silah deposundan ShadowBrokers grubu tarafından çalınarak Nisan 2017'de kamuya sızdırıldı. Aynı ay içinde WannaCry ransomware bu araçları silah haline getirdi.

WannaCry ve NotPetya — Tarihin En Büyük Saldırıları

  • WannaCry (Mayıs 2017): EternalBlue + DoublePulsar üzerinden yayılan ransomware. 150 ülkede 200.000’den fazla sistem etkilendi. NHS hastaneleri, FedEx, Telefonica ve Renault gibi devler felç oldu. Toplam zarar tahmini: 4-8 milyar dolar.
  • NotPetya (Haziran 2017): Ukrayna’yı hedef alan ve EternalBlue kullanan saldırı. Maersk, Merck ve Mondelez gibi şirketlere 10 milyar dolar üzerinde zarar verdi. Tarihte kayıt altına alınan en yıkıcı siber saldırı olarak kabul ediliyor.

Dokuz yıl geçti. Exploit hâlâ aktif.

Saldırı Amacı — 2026’da EternalBlue Neden Hâlâ Aktif?

🔍 Spekülatif Değerlendirme

Bu bölüm gözlem verilerine dayalı yorumu içerir; kesin atıf değildir.

Neden 2026’da hâlâ 31.000+ tarama?

Siber güvenlik araştırmacılarının tahminlerine göre dünya genelinde 80 milyona yakın Windows sistemi MS17-010 yamasını hiç almamış durumda. Bu makineler; sağlık kurumları, küçük işletmeler, kamu kurumları, endüstriyel kontrol sistemleri (ICS/SCADA) ve ev kullanıcılarına ait eski donanımlardır.

Bu taramalar ne için yapılıyor olabilir?

  1. Ransomware ön hazırlığı: Modern ransomware grupları hedef seçmeden önce yamasız sistemlerin envanterini çıkarır. DoublePulsar taraması, bu envanterin oluşturulması için kullanılan klasik bir yöntemdir.

  2. Botnet genişletme: Ele geçirilen sistemler spam göndermek, DDoS saldırıları yürütmek veya kripto madenciliği yapmak için kullanılır. Yamasız bir Windows makinesi kolayca zombiye dönüştürülür.

  3. Kalıcı erişim kurma: DoublePulsar implantı kernel seviyesinde çalıştığı için antivirüs ürünlerinin büyük çoğunluğu tarafından tespit edilemez. Bir sisteme yüklendikten sonra aylarca sessizce bekleyebilir.

  4. Lateral movement hazırlığı: Kurumsal ağlarda tek bir yamasız makine, tüm domain’e yayılım için yeterlidir. Saldırganlar bu “açık kapı” makineleri haritalıyor.

Neden ivmeleniyor?

22-24 Nisan arasındaki üstel artış, koordineli bir kampanyayı akla getiriyor. Olasılıklar: yeni bir botnet operatörünün tarama kapasitesini artırması, mevcut bir botnet’in hedef listesini yenilemesi ya da satın alınan/kiralanmış tarama altyapısının devreye alınması.

IOC Tablosu

GöstergeTipDeğerNot
160.19.227.132IPv4Kaynak IPHindistan, yüksek hacim
106.51.21.248IPv4Kaynak IPHindistan, ACT Fibernet
103.188.171.173IPv4Kaynak IPHindistan
445/tcpPortHedef portSMBv1 servis portu
ET EXPLOIT Possible ETERNALBLUE Probe MS17-010SuricataIDS İmzasıET Pro / ET Open
DoublePulsar implantSuricataIDS İmzasıPTsecurity imzası

Kullanılan Suricata imzaları:

  • ET EXPLOIT Possible ETERNALBLUE Probe MS17-010 — tarama tespiti
  • PTsecurity’nin DoublePulsar implant detection signature’ı — aktif implant tespiti

Savunma Önerileri

🔒 SMBv1'i Derhal Devre Dışı Bırakın

SMBv1, modern Windows kurulumlarında zaten varsayılan olarak kapalıdır; ancak eski sistemlerde veya yanlış yapılandırılmış ortamlarda aktif kalabilir. Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol komutu ile durumu kontrol edin. Aktifse: Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

🔒 MS17-010 Yama Durumunu Doğrulayın

Kurumsal ortamda tüm Windows sistemlerinde MS17-010 yamasının uygulandığını WSUS veya patch management aracınızla doğrulayın. Windows XP ve Server 2003 gibi EOL sistemler için Microsoft'un olağanüstü durum yaması hâlâ indirilebilir durumdadır. EOL sistemleri izole edilmiş ağ segmentine alın.

🔒 TCP/445'i WAN'a Kapatın

SMB portu (TCP/445) internete hiçbir zaman açık olmamalıdır. Güvenlik duvarı ve/veya edge router'da WAN tarafından gelen TCP/445 ve UDP/137-138, TCP/139 trafiğini engelleyin. Kurumsal ağlarda mikrosegmentasyon: SMB yalnızca domain controller ile ilgili segmentler arasında açık olsun.

🔒 EDR ve IDS İmzalarını Güncelleyin

Suricata kullanan ortamlarda ET Open/Pro kurallarını güncel tutun. EDR çözümünüzün DoublePulsar kernel implant tespitini desteklediğini doğrulayın — bazı eski antivirüs ürünleri ring-0 implantları kaçırabiliyor. Crowdstrike, SentinelOne ve benzeri modern EDR'ler bu saldırıyı davranışsal analiz ile tespit edebilir.

🔒 Kaynak IP'leri Blok Listesine Ekleyin

Bu dönemde tespit edilen 160.19.227.132, 106.51.21.248 ve 103.188.171.173 IP adreslerini perimeter güvenlik duvarı ve SIEM block listesine ekleyin. ACT Fibernet (AS24309) kaynaklı olağandışı SMB trafiğini izleyin.

Kapanış

Eski exploitler ölmüyor — sadece sahnenin arkasına çekiliyor. DoublePulsar ve EternalBlue’nun 2026’da bu denli aktif olması iki gerçeği aynı anda kanıtlıyor: birincisi, dünyanın dört bir yanında milyonlarca yamasız Windows makinesi internet’e bağlı kalmaya devam ediyor; ikincisi, saldırganlar bu gerçeği çok iyi biliyor ve bundan kârlı çıkıyor.

4 günde 4 kat artış bir ivmelenme sinyalidir. Bu taramaların bir kısmı bugün sessizce ilerliyor ve hedeflerini buluyor. Patch uygulanmamış sistemler, MS17-010 açığını barındıran bir Windows yüklüyse zaten saldırı yüzeyinin parçası — güvenlik duvarı kuralına değil, yamanın kendisine ihtiyaçları var.

Metodoloji

Veriler SiberKale Hisar gözlemevi T-Pot kurulumundan OPSEC filtreli extractor aracılığıyla alınmıştır. Dahili IP’ler, sensör konumları ve pasif parmak izi verileri dışlanmıştır. Pencere: 2026-04-22 00:00 UTC – 2026-04-25 (kısmi gün). Suricata DoublePulsar/EternalBlue imzaları: ET Open kuralları + PTsecurity imza seti. 25 Nisan verisi sabah saatlerine ait kısmi sayımdır; gün tamamlandığında nihai rakam güncellenecektir.

📡 Feed Hub

Tellal tehdit-istihbarat bülten serisi. Bu yazı SiberKale Hisar gözlemevinin honeypot verilerine dayanmaktadır.

© SiberKale — CC BY 4.0