mdrfckr Verim Katsayısı %4.87 — Outlaw ve DoublePulsar Aynı Kampanya Değil
8 günde 79.769 SSH bağlantısı, 75.764 brute-force denemesi, 3.690 başarı (%4.87). Başarıların %55.9'u doğrudan mdrfckr playbook'una akıyor. Üstüne DoublePulsar IP'leriyle kesişim sıfır — iki ayrı altyapı.
Açılış: Plateau’nun Altındaki Sayılar
Önceki yazıda 14 Nisan zirvesinin tek seferlik bir olay değil, plateau’ya yerleşmiş arka plan tehdidi olduğunu gösterdik: 22-29 Nisan arası 8 günde 1.036 farklı IP, 2.064 mdrfckr authorized_keys enjeksiyon denemesi.
O yazının sonunda iki soru bırakmıştık: (1) Bu kampanyanın gerçek dönüşüm oranı nedir — yani SSH brute-force kaç başarıya, kaç payload yürütmesine dönüşüyor? (2) Aynı pencerede gözlemlenen DoublePulsar/EternalBlue dalgasıyla aynı altyapıyı mı paylaşıyorlar?
Cevaplar netleşti:
- Verim katsayısı %4.87 — ama bu sayı yanıltıcı, çünkü asıl önemli oran şu: başarılı login’lerin %55.9’u doğrudan mdrfckr playbook’una akıyor.
- mdrfckr IP’leriyle DoublePulsar IP’leri arasında kesişim sıfır. İki kampanya aynı dönemde aynı ağa vuruyor, ama aynı altyapıdan değil.
1. Saldırı Hunisi — 79.769’dan 2.064’e
Adım Adım Dönüşüm
| Aşama | Sayı | Bir önceki adıma göre | İlk adıma göre |
|---|---|---|---|
cowrie.session.connect (TCP/22 bağlantı) | 79.769 | 100% | 100% |
cowrie.login.failed + success (auth denemesi) | 75.764 | %95.0 | %95.0 |
cowrie.login.success (başarılı brute-force) | 3.690 | %4.87 | %4.63 |
cowrie.command.input (komut girildi) | 36.338 | %984 (oturum başına ~10) | — |
cowrie.session.file_download (payload indirildi) | 3.104 | — | — |
mdrfckr authorized_keys enjeksiyonu | 2.064 | %55.9 (success’ten) | %2.59 |
Dota payload (a8460f446b...) indirme | 2.062 | mdrfckr ile birebir | — |
Yorum: Saldırgan binlerce cihazdan SSH’a hücum ediyor; root/123456 veya 345gs5662d34 gibi zayıf credential’lardan biri tutuyor. Honeypot’ta sahte bir success yanıtı dönünce tek bir oturumda backdoor key + payload + şifre değişikliği zinciri çalışıyor. 2.064 enjeksiyon ≈ 2.062 Dota payload indirme — sayılar birebir çakışıyor. Yani mdrfckr kampanyası kendi içinde son derece tutarlı: backdoor anahtarı eklendikten saniyeler içinde payload da yükleniyor.
Honeypot ağımızda 8 günde gerçekleşen her iki başarılı SSH brute-force'tan biri mdrfckr/Outlaw playbook'una düşüyor. Bu pazar payı, Linux SSH brute-force ekosisteminde Outlaw Group'un dominant aktör olduğunu gösteriyor. Geriye kalan %44.1'i farklı kampanyalar paylaşıyor — örneğin 01ba4719c80b... SHA256'lı dropper (1.022 indirme), 17 Nisan yazısında incelediğimiz başka bir aile.
2. Brute-Force Sözlüğü — Hangi Kullanıcılar Hedef?
8 günde 75.764 login denemesinde gözlemlenen top kullanıcı adları (binyıllık sözlüğün hâlâ aynı olduğu kanıtı):
| Sıra | Kullanıcı | Deneme | Hedef Sistem Tipi |
|---|---|---|---|
| 1 | root | 27.164 | Linux genel |
| 2 | admin | 5.765 | IoT / router / ağ cihazı |
| 3 | user | 3.576 | Generic |
| 4 | ubuntu | 2.337 | Cloud VM (Ubuntu AMI) |
| 5 | 345gs5662d34 | 1.933 | Mirai/Gafgyt (Dahua/Hikvision DVR) |
| 6 | test | 1.516 | Generic |
| 7 | support | 1.175 | Ağ ekipmanı |
| 8 | deploy | 733 | DevOps / CI runner |
| 9 | debian | 690 | Debian cloud AMI |
| 10 | postgres | 618 | DB sunucusu |
Dikkat çeken iki kalem:
345gs5662d34— bu Mirai/Gafgyt botnet ailesinin kullandığı Dahua/Hikvision DVR default credential’ı. 15 Nisan winbox-345gs analizinde detayları paylaşmıştık. mdrfckr saldırganları aynı sözlüğü kullanıyor — yani Outlaw Group, Mirai eko sistemini de kapsayan geniş bir hedef profili gözetiyor.ubuntuvedebian— bulut VM’lerin varsayılan kullanıcı adları. AWS EC2, Azure, GCP’deubuntu, Debian community AMI’lerindedebiandefault. Bu bilgi saldırganın ev sunucularını değil, bulut altyapısını hedeflediğini gösteriyor.
3. Atıf Analizi — DoublePulsar Kesişimi: SIFIR
25 Nisan yazısı DoublePulsar/EternalBlue taramasının 22-25 Nisan’da 4 kat arttığını ortaya koymuştu. 22-29 Nis penceresine kadar genişlettiğimizde Suricata’nın DoublePulsar, ETERNALBLUE veya MS17-010 etiketli alarmları 82 farklı kaynak IP’den geliyor.
Aynı pencerede mdrfckr authorized_keys enjeksiyonu 1.036 farklı IP’den geldi. İki listenin kesişimi: 0.
1.036 mdrfckr kaynak IP'si ile 82 DoublePulsar kaynak IP'si arasında tek bir ortak adres yok. Bu iki kampanyanın aynı operatör tarafından yönetilmediğine güçlü bir kanıt. Yani 14 Nisan zirvesinde her iki saldırı eş zamanlı olarak görüldüyse de altyapı paylaşımı yok — birbirinden bağımsız iki tehdit aktörü, aynı dönemde aynı tarama hedeflerine yönelmiş durumda. Kampanya ilişkilendirme yaparken "aynı zaman" ile "aynı operatör"ü karıştırmamak gerekir.
Profil Karşılaştırması
| Boyut | mdrfckr / Outlaw | DoublePulsar / EternalBlue |
|---|---|---|
| Kaynak IP sayısı | 1.036 | 82 |
| Top 1 IP’nin payı | %1 (8 hit) — dağıtık | %30 (3.011 hit) — yoğun |
| Hedef protokol | SSH (TCP/22) | SMB (TCP/445) |
| Hedef OS | Linux | Windows |
| Coğrafi profil | Asya yoğun (%50+, dağıtık) | Hindistan tek bloğu (3 IP, ev ISP’leri) |
| Kampanya yaşı | 2017 (Outlaw Group) | 2017 (NSA Shadow Brokers sızıntısı) |
| Güncel davranış | Plateau (sürekli arka plan) | Akut spike (4 günde 4× artış) |
| Aynı IP’den her ikisi var mı? | — | Hayır (kesişim 0) |
Aynı dönemde aynı pencerede gözlemleniyorlar ama birbiriyle ilgisiz iki suç altyapısı — biri Linux miner ekosistemi, diğeri Windows lateral movement keşfi.
4. Bulguların Anlamı
Savunmacı için: “Ya/ya da” değil “ve”
mdrfckr’i durdurmak DoublePulsar’i durdurmaz, DoublePulsar’i durdurmak mdrfckr’i durdurmaz. SSH password auth kapatmak ve authorized_keys izlemek birinci kampanyaya karşı; SMBv1 kapatmak ve MS17-010 yamaması ikincisine karşı. İkisi de aynı anda gerekli.
Saldırgan iktisadından çıkarımlar
%4.87 brute-force başarı oranı düşük gibi görünebilir. Ama:
- 75.764 deneme × 1.036 farklı IP’den geliyor — yani saldırgan her IP başına ortalama sadece 73 deneme yapıyor ve fail2ban / rate-limit eşiğinin altında kalıyor.
- 3.690 başarı sadece honeypot ağımızda. Aynı dağıtık altyapı tüm internete vuruyor — gerçek dünyada başarı sayıları çok daha yüksek.
- Başarılı bir login Outlaw için ortalama %55.9 olasılıkla yeni bir crypto-miner zombi demek. Yani saldırgan başına maliyet çok düşük.
Ekonomik denklem saldırgan lehine: dağıtık zombi ağı zaten elinde, hedefler her gün yeniden üretiliyor. Yatırım-dönüş oranı 2017’den beri pozitif. Plateau değişmedi çünkü değişmesi için bir baskı yok.
Threat-intel tarafı için
22-29 Nis penceresi gösteriyor ki, kampanya atıfı yaparken zamansal yakınlık (temporal proximity) tek başına yeterli değil. 14 Nisan’da hem Outlaw hem DoublePulsar zirvedeydi — yine de altyapıları %0 örtüşüyor. Kampanya ilişkilendirmesi için:
- Ortak IP/ASN
- Ortak komut-and-control altyapısı
- Ortak payload (SHA256)
- Ortak playbook adımı
en az iki tanesinin aynı anda kanıtlanması gerek. “Aynı dönemde göründü” kanıt değildir.
5. Yeni IOC — Top Kullanıcı/Parola Sözlüğü
| Tür | Değer | Bağlam |
|---|---|---|
| Kullanıcı | root (27K), admin (5.7K), 345gs5662d34 (1.9K) | Brute-force sözlüğü zirvesi |
| Cloud user | ubuntu, debian, deploy | Bulut VM’leri hedefte |
| Service user | postgres, oracle, steam, ftpuser | Uygulama-spesifik account’lar |
| File hash | a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 | Dota payload — 2.062 indirme |
| File hash | 01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b | Ayrı dropper — 1.022 indirme |
| Backdoor key | ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr...== mdrfckr | mdrfckr authorized_keys enjeksiyonu |
IOC’lar CC0 lisansı altında — atıf gerekmeksizin kullanabilirsiniz.
6. Savunma — Hunilere Göre Mitigasyon
SSH brute-force'un ilk basamağında durdurmak en ucuz çözüm. Sadece bilinen subnet'lerden TCP/22 izin veren firewall kuralı + WireGuard/Tailscale arka uç + bastion host. Bu yapıldığında 79.769 connect'in tamamı sıfıra iner.
Public bir SSH port tutmak zorundaysanız password auth kapatın. PasswordAuthentication no + PermitRootLogin no + sadece public key. Bu yapıldığında %4.87 başarı oranı doğrudan %0 olur. fail2ban bu kararla beraber kullanılırsa otomasyon eşiği daha da daralır.
İlk iki katman aşıldıysa son savunma ~/.ssh/authorized_keys dosyasının değişimine anında alarm üreten auditd kuralıdır. Tüm kullanıcı home dizinleri + /root/.ssh izlenmeli; mdrfckr içeren herhangi bir echo >> authorized_keys komutu için SIEM kuralı yazın. Aynı zamanda ~/dl/ dizini bu kampanyanın payload yerleşim alanı — bu dizinin oluşumu kritik anomali.
mdrfckr ile DoublePulsar bağımsız kampanyalar olduğu için SSH önlemleri SMB'yi korumaz. WAN'dan TCP/445 erişimi kesin, SMBv1 derhal devre dışı bırakın, MS17-010 yamasının uygulandığını WSUS/patch management ile doğrulayın. 25 Nis yazısı bu konuda detaylı.
Aynı pencere içinde DoublePulsar alarm IP'leriyle SSH brute-force IP'leri görünüyorsa otomatik olarak "aynı kampanya" varsaymayın. Bizim verimizde kesişim sıfır. Korelasyon kuralları ortak IP/ASN/payload/playbook gerektirmeli; sadece zamansal yakınlık yetersiz. Yanlış atıf hem savunma kararını hem incident response zamanlamasını saptırır.
Kapanış — “Aynı zamanda” “aynı operatör” demek değil
22-29 Nisan penceresi iki sonuç verdi:
-
mdrfckr’in dönüşüm hunisi sayılarla görünür hale geldi. %4.87 brute-force başarısı, başarıların %55.9’unun doğrudan tek bir kampanyaya akması — bu Linux SSH brute-force ekosisteminde Outlaw Group’un de facto pazar lideri olduğunu gösteriyor. 8 yıllık playbook hâlâ kâr ediyor.
-
DoublePulsar ve mdrfckr aynı pencerede aynı ağa vurmuş ama aynı operatör değil. Kesişim 0, profiller farklı, hedef OS farklı. Threat-intel atıfında temporal proximity tek başına yeterli değil — bu yazı küçük ama net bir vaka çalışması.
Bir sonraki yazıda: 22-29 Nisan döneminde DDoS pot’u (ddospot) tarafından gözlemlenen UDP amplification türlerinin dağılımı ve bu trafiğin Suricata DNS-amp imzalarıyla korelasyonu.
Metodoloji
Veriler SiberKale Hisar gözlemevi T-Pot kurulumunun Cowrie + Suricata pot’larından OPSEC filtreli extractor aracılığıyla alınmıştır. Pencere: 2026-04-22 00:00 UTC – 2026-04-30 00:00 UTC (8 tam gün). Kesişim sorgusu: match_phrase: "mdrfckr" ile elde edilen 1.036 unique src_ip vs alert.signature: DoublePulsar|ETERNALBLUE|MS17-010 ile elde edilen 82 unique src_ip — kesişim Python set operasyonuyla hesaplandı, sonuç ∅. Login dönüşüm hunisi eventid aggregation üzerinden çıkarıldı. RFC1918, CGNAT, dahili sensör IP’leri ve bilinen tarayıcı servisleri (Shodan/Censys/Palo Alto Xpanse) filtrelenmiştir.
Tellal tehdit-istihbarat bülten serisi. Bu yazı SiberKale Hisar gözlemevinin honeypot verilerine dayanmaktadır.
© SiberKale — CC BY 4.0