Bülten 3–9 Temmuz: Bucklog Tarama Selleri, SOSTREA'nın arm7 Dönemi ve SSH Playbook'unun Yeni Taşıyıcıları
Haftalık pencerede feed'e 1.506 yeni IoC girdi; günlük ham hacim önceki döneme göre %72 düştü. Bucklog SARL kümesi /24-senkron flood'a evrildi (tek günde ~158K event), SOSTREA arm7 varyantına geçip payload hostlarını yine değiştirdi ve Romanya SSH persistence playbook'unu yeni bir senkron ikili devraldı. Geçen bültenin üç tahmini de bu hafta doğrulandı.
Analiz: Erdem Özyurt · SiberKale Tellal
İçindekiler 12
- Yönetici Özeti
- 1. Hafta Normalleşti, Türkiye Trafiği Tek ASN’e Yoğunlaştı
- 2. Bucklog Selleri: Tek IP Flood’undan /24-Senkron Kümeye
- 3. SOSTREA’nın arm7 Dönemi: Host Rotasyonu Hızlandı, Cephaneliğe netcat Girdi
- 4. SSH Playbook’u El Değiştirdi: Yeni Senkron İkili
- 5. SMTP: Konsantrasyon Bitti, Blok Tahmini Tuttu
- 6. Genel Yüzey: 8080 SSH’ı Geçti, MikroTik API Portu Radarda
- 7. Feed Göstergeleri
- IoC Tablosu: 3 – 9 Temmuz Penceresi
- Savunma Öncelikleri
- Sonuç
- Metodoloji ve Lisans
Yönetici Özeti
3 Temmuz bülteni üç öngörüyle kapanmıştı: Romanya playbook’unu devralan yeni kaynak çıkacak, SMTP operasyonu aynı ağ bloğunda IP değiştirecek ve SOSTREA payload hostlarına güvenilemeyecek. Bu hafta üçü de doğrulandı. Dönemin dört hikâyesi:
- Hacim normalleşti: İki büyük gürültü kaynağı (Romanya SSH ikilisi ve Haziran TR hosting seli) sahneden çekilince günlük ham hacim ~905K’dan ~254K event’e indi. TR’nin yeni IoC’lerdeki payı %47’den %17’ye düştü, ama kalan TR trafiği tek bir ASN’de yoğunlaştı.
- Bucklog selleri: Önceki bültenlerde IP başına ~3K event’lik web taramasıyla anılan Bucklog SARL kümesi (185.177.72.0/24) ölçek atladı: 4 Temmuz’da dört IP birden ~39,5K’ar event üretti ve haftanın zirve gününü tek başına şişirdi.
- SOSTREA’nın arm7 dönemi: Payload altyapısı bir bültende ikinci kez döndü. Geçen haftanın “yeni ana hostu”
5.175.223.249tamamen kayboldu; arm7 varyantı ana dağıtım yolu hâline geldi ve teslimat cephaneliğine netcat eklendi. - SSH playbook’u el değiştirdi: Romanya ikilisi kesin olarak sustu, ama aynı komut zinciri ve aynı iki hash bu hafta yeni bir senkron ikiliden geldi:
45.153.34.235+91.92.40.14, ikisi de birebir aynı sayıda Cowrie event ile.
Bu bülten tek katmandan hazırlandı: 7 günlük pencerenin tamamı hem IoC veritabanı hem ham sensör retention'ı içinde kaldığı için trend ve davranış verisi birebir çaprazlanabildi. İç/yönetim trafiği ve bilinen operasyonel kaynaklar tüm tablo ve listelerden çıkarılmıştır.
1. Hafta Normalleşti, Türkiye Trafiği Tek ASN’e Yoğunlaştı
Pencere toplamı 1,78M event ve 4.433 benzersiz kaynak IP. Günlük ortalama ~254K event; önceki bültenin ham penceresinde bu ortalama ~905K idi. Düşüşün iki nedeni net: 27 günde ~5,16M event üreten Romanya SSH ikilisi 30 Haziran’da sustu ve Haziran’ın TR hosting seli geri çekildi.
Günlük yeni-IoC serisi de sakin taban çizgisine döndü (150–215/gün); tek istisna 6 Temmuz’daki 435’lik zirve:
| Gün | Yeni IoC |
|---|---|
| 3 Temmuz | 209 |
| 4 Temmuz | 212 |
| 5 Temmuz | 145 |
| 6 Temmuz | 435 |
| 7 Temmuz | 169 |
| 8 Temmuz | 214 |
| 9 Temmuz | 122 |
Yeni IoC’lerin ülke dağılımında TR hâlâ ilk sırada ama tablo Haziran’a göre çok daha dengeli:
| Ülke | Yeni IoC (3–9 Temmuz) |
|---|---|
| TR | 255 |
| US | 235 |
| BE | 218 |
| CN | 141 |
| GB | 120 |
| DE | 96 |
TR'nin 255 yeni IoC'sinin 244'ü (%96) tek bir ASN'den geldi: AS214041 (Dokunmatik Ekran Teknolojileri). Aynı ASN ham sensör tarafında 86.395 event ile dönemin 2. kaynak ağıydı. Haziran'daki çok-operatörlü TR hosting dalgası (Bogahost, Yigit, Uzmansoft, Pixoof...) geri çekilirken, kalan TR trafiğinin neredeyse tamamının tek ASN'de toplanması izlenmesi gereken yeni bir desen: dağıtık kiralama bitti, yoğun tek-kaynak dönemi başlamış olabilir.
ASN genelinde ilk üç: Google Cloud (256), AS214041 (244), DigitalOcean (116). Haziran bülteninin TR hosting operatörlerinden hiçbiri bu hafta ilk 12’de yok.
2. Bucklog Selleri: Tek IP Flood’undan /24-Senkron Kümeye
Önceki iki bültende Bucklog SARL (FR) kümesini “her biri ~3K event’lik web tarayıcısı üçlüsü” olarak not etmiştik. Bu hafta aynı /24’ten gelen operasyon ölçek atladı:
| IP | Event | Profil |
|---|---|---|
185.177.72.54 | 39.592 | P0f + Suricata, 4 Temmuz |
185.177.72.38 | 39.507 | P0f + Suricata, 4 Temmuz |
185.177.72.69 | 39.507 | P0f + Suricata, 9 Temmuz’da geri döndü |
185.177.72.52 | 39.387 | P0f + Suricata, 4 Temmuz |
185.177.72.53 | 11.868 | Tanner + Fatt ağırlıklı (web içerik taraması) |
4 Temmuz’da dört IP’nin birlikte ürettiği ~158K event, günü haftanın zirvesi yapan 370K’nın yarısına yakınını tek başına oluşturdu. Bucklog SARL toplamda 169.957 event ile dönemin 1. kaynak ağı oldu ve Fransa’yı ülke sıralamasının tepesine taşıdı (175K event).
Profil dikkat çekici: küme Cowrie’ye neredeyse hiç dokunmuyor, oturum açma denemesi yok. Bu, hedef listesi çıkaran geniş yüzeyli bir keşif taraması. Event sayılarının IP’ler arasında neredeyse birebir aynı olması (39.507 iki kez!), aynı görev tanımının aynı anda dört instance’a dağıtıldığını gösteriyor. Önceki bültenlerin “bir günlük flood” deseni tek IP’den /24-senkron kümeye evrildi; savunma tarafında bunun karşılığı IP bazlı değil prefix bazlı rate-limit.
3. SOSTREA’nın arm7 Dönemi: Host Rotasyonu Hızlandı, Cephaneliğe netcat Girdi
Geçen bülten SOSTREA/TBK ailesinin payload altyapısını değiştirdiğini raporlamıştı. Bu hafta altyapı bir kez daha döndü ve geçen haftanın “yeni ana hostu” 5.175.223.249 pencerede hiç görünmedi:
| Payload | Hit | Not |
|---|---|---|
217.60.195.160/gigatex/arm7 | 1.274 | arm7 artık ana yol (geçen hafta 315 idi) · ./arm7 tbk |
95.182.89.105/bbc | 778 | Yeni bbc hostu |
206.223.236.99/bbc | 19 | Yedek bbc hostu |
nc 45.153.34.204 1000 > womp | 3 | Yeni teslimat varyantı: wget yerine netcat |
Netcat varyantı ayrıca dikkat çekici: payload, aktörün kendi IP’sinden 1000/tcp üzerinden çekiliyor. Yani 45.153.34.204 hem tarayıcı hem dağıtım sunucusu; Nisan’dan beri feed’de olan bu IP’nin kümülatif hit sayısı 22.213’e ulaştı ve son görülmesi 9 Temmuz.
Marker toplamda 2.079 kez görüldü; dağılım iki aktörde toplanıyor:
| IP | SOSTREA hit | Bağlam |
|---|---|---|
45.139.122.80 | 1.275 | Yeni ana aktör (%61), bu hafta feed’e girdi |
45.153.34.204 | 798 | Nisan’dan beri süreklilik |
Suricata tarafında ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection (CVE-2024-3721) imzası 2.087 kez tetiklendi; günlük oran önceki pencerenin neredeyse iki katı. İstismar yavaşlamıyor, hızlanıyor.
SOSTREA'nın payload hostları geçen ay bir kez, bu hafta bir kez daha döndü: IP tabanlı bloklamanın ömrü artık haftayla ölçülüyor. Değişmeyenler ise aynı: path marker (___S_O_S_T_R_E_A_MAX___), device.rsp injection deseni ve /tmp içinde indir-çalıştır zinciri. Kalıcı tespit bu üçü üzerine kurulmalı; netcat varyantı için egress'te sıra dışı porta (1000/tcp) giden ham TCP bağlantısı ayrıca izlenmeli.
4. SSH Playbook’u El Değiştirdi: Yeni Senkron İkili
Romanya ikilisinin finali kesinleşti: 193.32.162.34 ve 193.32.162.35 bu pencerede 0 event üretti, son görülmeleri 30 Haziran’da kaldı. Ama geçen bültenin öngörüsü bir haftada gerçekleşti: playbook’u devralan yeni kaynaklar çıktı.
| IP | Cowrie event | Not |
|---|---|---|
45.153.34.235 | 3.815 | 8 Temmuz’da yüklendi, toplam 10,7K event |
91.92.40.14 | 3.815 | 8 Temmuz’da yüklendi, toplam 10,9K event (TechTies bloğu) |
İki IP’nin Cowrie event sayısının birebir aynı olması tesadüf değil: Romanya döneminin .34/.35 çift yapısının yapısal kopyası. Üstelik 45.153.34.235, TBK/SOSTREA aktörü 45.153.34.204 ile aynı /24’te; SSH persistence ve IoT injection operasyonlarının altyapı komşuluğu bu hafta ilk kez bu kadar netleşti.
Komut zinciri Nisan’dan beri değişmedi:
| Komut / davranış | Hit |
|---|---|
uname -a | 664 |
cd ~; chattr -ia .ssh; lockr -ia .ssh | 661 |
cat /proc/cpuinfo ... (kapasite keşfi) | 656–660 |
crontab -l | 656 |
whoami, top, df -h, which ls | 656–657 |
Aynı iki hash de görevde:
| SHA-256 | İndirme | Bağlam |
|---|---|---|
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 | 661 | authorized_keys persistence içeriği |
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b | 398 | Nisan’dan beri dönen dropper marker’ı |
Login sözlüğünde bir detay öne çıkıyor: 345gs5662d34 kullanıcı adı (629) ve 3245gs5662d34 parolası (630) çifti. Bu, SSH botnet ailelerinin bilinen parmak izlerinden biri ve tek başına yüksek doğruluklu bir tespit imzası. Klasikler de yerinde: root (7.169), admin, support; parolada admin, 123456.
5. SMTP: Konsantrasyon Bitti, Blok Tahmini Tuttu
Geçen bültenin tek baskın SMTP aktörü 158.94.209.56 pencerede hiç görünmedi (son görülme 27 Haziran) ve hacim çöktü: port 25 trafiği 489.946’dan 12.083’e, Mailoney kayıtları 22.505’ten 2.957’ye indi.
Ama operasyonun ağ bloğu tahmin edildiği gibi geri döndü: aynı komşuluktan 158.94.211.49 (468 Mailoney event) dönemin 3. SMTP kaynağı olurken, 158.94.210.8, 158.94.211.236 ve 158.94.208.26 feed’e yeni IoC olarak girdi. IP değişiyor, prefix değişmiyor.
| Kaynak IP | Mailoney Event | Bağlam |
|---|---|---|
141.98.9.55 | 1.328 | Dönem lideri (%45); 141.98.10.99 ve 141.98.9.89 da aynı komşulukta |
178.16.53.241 | 676 | Önceki bültenin 178.16.54.22’siyle komşu blok |
158.94.211.49 | 468 | 158.94.x bloğu geri döndü, tahmin doğrulandı |
Üç kaynağın üçü de bilinen bloklardan: SMTP tarafında artık hikâye tekil IP’ler değil, üç ağ komşuluğunun rotasyon ritmi.
6. Genel Yüzey: 8080 SSH’ı Geçti, MikroTik API Portu Radarda
Dönemin dış yüzey port dağılımında dikkat çekici bir kırılma var:
| Port | Event | Bağlam |
|---|---|---|
| 8080 | 212.933 | Alternatif web yüzeyi, ilk kez SSH’ın önünde |
| 22 | 196.714 | SSH |
| 80 | 126.100 | HTTP probe |
| 443 | 99.472 | HTTPS probe |
| 123 | 38.429 | NTP (amplification keşfi) |
| 7844 | 27.859 | Cloudflare Tunnel portu |
| 8728 | 25.760 | MikroTik RouterOS API |
| 3306 | 22.941 | MySQL |
| 25 | 12.083 | SMTP |
Önceki pencerede SSH, 8080’in beş katıydı; bu hafta 8080 birinci sıraya çıktı. Romanya kampanyasının bitmesi SSH gövdesini inceltirken web-alternatif yüzey taraması sabit kaldı.
Türkiye’deki ağ operatörleri için asıl not 8728: MikroTik RouterOS API portuna bir haftada 25,8K probe geldi. Bu port internete açık olmamalı; /ip service altında API’yi LAN/yönetim subnet’ine kısıtlamak (veya kapatmak) beş dakikalık iştir. Cloudflare Tunnel portu 7844’e gelen 27,9K probe da tünel endpoint’lerinin keşif listelerine girdiğini gösteriyor.
Diğer yüzey notları:
- Conficker hâlâ yayında:
KEYPLUG/Downadup/Conficker-C P2P UDP Pingimza ailesi toplam ~27,9K kez tetiklendi. 2008’in solucanı internetin arka plan radyasyonu olarak yaşıyor; aynı desen KEYPLUG ile örtüştüğü için modern C2 keşfiyle karışabilir. - MySQL tek aktörü: Dionaea’nın 2.634 kaydının %87’si tek kaynaktan:
213.209.159.154. Bu IP hafta boyunca her gün görünür listede kaldı (18,5K toplam event); flood değil, sabırlı ve düzenli bir envanter taraması. - Tek günlük floodlar sürüyor:
38.127.60.25(8 Temmuz, 15,2K),168.144.140.203(7 Temmuz zirvesi; 17.033 hit ile haftanın en yüksek hacimli yeni IoC’si) ve18.97.5.99(3 Temmuz, 4,6K) belirip kayboldu. - HTTPS probe sıçraması: 8 Temmuz’da H0neytr4p 3.827’ye fırladı; kaynağın %92’si
91.92.33.248(DEDIK Services, DE).
7. Feed Göstergeleri
| Metrik | 3 Temmuz | 9 Temmuz | Değişim |
|---|---|---|---|
| Toplam IoC | 60.630 | 62.144 | +1.514 (%2,5) |
| Son 7 gün IoC | 6.650 | 1.554 | −%77 |
| Benzersiz ASN | 3.952 | 4.015 | +63 |
Tüm zamanlar ülke sıralamasında bir yer değişimi var: Çin, Brezilya’yı geçerek 3. sıraya yerleşti.
| Ülke | IoC (9 Temmuz) | Not |
|---|---|---|
| US | 13.110 | Lider |
| TR | 8.814 | 2. (değişmedi) |
| CN | 5.346 | BR’yi geçti, 3. sıraya çıktı |
| BR | 5.240 | 4.‘e indi |
IoC Tablosu: 3 – 9 Temmuz Penceresi
| IoC | Tür | Bağlam | Öncelik |
|---|---|---|---|
45.139.122.80 | IP | SOSTREA/TBK yeni ana aktörü (marker’ın %61’i) | high |
45.153.34.204 | IP | TBK DVR CVE-2024-3721, Nisan’dan beri aktif + netcat payload sunucusu | high |
217.60.195.160/gigatex/arm7 | URL | SOSTREA arm7 ana payload yolu | high |
95.182.89.105/bbc | URL | SOSTREA yeni bbc hostu | high |
206.223.236.99/bbc | URL | SOSTREA yedek bbc hostu | medium |
45.153.34.235 | IP | SSH persistence playbook yeni taşıyıcısı (senkron ikili 1/2) | high |
91.92.40.14 | IP | SSH persistence playbook yeni taşıyıcısı (senkron ikili 2/2) | high |
185.177.72.38 / .52 / .53 / .54 / .69 | IP | Bucklog SARL /24-senkron tarama kümesi | medium |
141.98.9.55 | IP | SMTP/Mailoney dönem lideri | medium |
158.94.211.49 | IP | SMTP bloğunun dönüşü (158.94.208.0/22) | medium |
213.209.159.154 | IP | MySQL/Dionaea tek aktörü, günlük düzenli tarama | medium |
38.127.60.25 | IP | 8 Temmuz tek günlük flood (15,2K) | medium |
168.144.140.203 | IP | 7 Temmuz web tarama zirvesi (17.033 hit) | medium |
91.92.33.248 | IP | 8 Temmuz HTTPS probe seli | medium |
345gs5662d34 / 3245gs5662d34 | Credential | SSH botnet parmak izi (kullanıcı + parola çifti) | medium |
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 | SHA-256 | authorized_keys persistence içeriği | high |
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b | SHA-256 | Nisan’dan beri dönen dropper marker’ı | medium |
ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection | IDS | CVE-2024-3721 aktif istismar | high |
IOC’lar savunma amaçlı paylaşılır. Haftanın dersi net: kampanyalar IP değiştiriyor (Romanya ikilisi → yeni senkron ikili, SOSTREA hostları → ikinci rotasyon, SMTP → komşu IP), davranış ve marker’lar değişmiyor.
Savunma Öncelikleri
- TBK DVR / IoT yüzeyi: CVE-2024-3721 istismarı hızlanıyor. Tespiti
device.rspinjection deseni ve___S_O_S_T_R_E_A_MAX___marker’ı üzerinden kurun; payload host listeleri artık haftalık eskiyor. Netcat varyantı için egress’te 1000/tcp gibi sıra dışı portlara giden ham TCP bağlantılarını alarma bağlayın. - SSH post-auth korelasyonu (değişmedi, sahibi değişti): Başarılı login sonrası ilk 60 saniyede
chattr/lockr .ssh,crontab,uname,cpuinfozinciri hâlâ en güvenilir imza.345gs5662d34/3245gs5662d34credential çiftini doğrudan IOC olarak ekleyin. - Prefix bazlı flood savunması: Bucklog deseni tek IP flood’undan /24-senkron kümeye evrildi. Rate-limit ve skorlamayı IP yerine prefix (en az /24) bazında uygulayın.
- MikroTik API yüzeyi: 8728/tcp’ye haftada 25,8K probe geliyor.
/ip servicealtında API’yi kapatın veya yönetim subnet’ine kısıtlayın; WinBox ve SSH için de allowlist şart. - SMTP komşuluk izleme:
158.94.208.0/22tahmin edildiği gibi döndü;141.98.8.0/22ve178.16.52.0/22komşulukları da aynı ritimde.RCPT TObaşarısızlıklarını prefix bazında gruplamaya devam edin.
Sonuç
Sayılara bakınca bu, aylardır izlediğimiz en sakin hafta: hacim dörtte bire indi, TR payı üçte bire düştü, feed büyümesi taban çizgisine döndü. Ama sakinlik yanıltıcı. Geçen bültenin üç öngörüsü de yedi gün içinde gerçekleşti: SSH persistence playbook’u yeni bir senkron ikiliye taşındı, SMTP operasyonu aynı bloktan yeni IP’lerle döndü ve SOSTREA payload altyapısını bir kez daha değiştirdi.
Asıl sinyal şu: aktörler artık altyapıyı haftalık ritimde eskitiyor. IP listesi tabanlı savunmanın yarı ömrü kısalırken, davranış imzaları (komut zinciri, path marker, credential parmak izi, senkron çift deseni) aylardır değişmedi. Savunma yatırımının yönü de bu olmalı.
Metodoloji ve Lisans
Bu rapor 3 – 9 Temmuz 2026 arası Tellal IoC veritabanı kayıtları ile aynı dönemin ham honeypot loglarının OPSEC-filtreli analiziyle hazırlandı. Dahili IP’ler, yönetim trafiği, RFC1918/CGNAT ve bilinen operasyonel kaynaklar public yayından çıkarılmıştır. Pencerenin tamamı sensör retention’ı içinde kaldığı için trend ve davranış verisi tek katmandır.
Lisans: CC BY 4.0 – Atıf yapılarak serbestçe kullanılabilir. IOC’lar CC0 lisansı altında serbesttir. SiberKale Tellal – Threat Intelligence Feed · tellal.net