DShield Honeypots, siber keşif faaliyetlerinde şaşırtıcı bir artışta daha önce duyulmamış log miktarlarını bildirmiştir ve bazı alt ağlar tek bir günde bir milyondan fazla giriş üretmiştir.
Konut ve arşivlenmiş kurulumlar da dahil olmak üzere birden fazla balpot örneğinde gözlemlenen bu dalgalanma, yüksek aktivite artışlarının nadir anomaliler olduğu tarihsel kalıplardan ayrılıyor.
Son birkaç ay boyunca, özellikle Nisan 2025’ten bu yana, web honeypot günlükleri bu akışa egemen oldu, genellikle günde 1 GB’ı aştı ve bir örnekte yaklaşık 35 GB’lık önceki kayıtları aşan yaklaşık 58 GB’de zirve yaptı.
Web Honeypot etkinliğinde benzeri görülmemiş bir artış
Bu tür hacimler sadece depolama kaynaklarını zorlamakla kalmaz, aynı zamanda yoğunlaştırılmış internet çapında tarama ve potansiyel kötü niyetli problamayı da vurgular.
13-14 aylık verilerin analizi, son aktivitenin daha önceki günlükleri gölgede bıraktığını ve bunları filtrelenmemiş görselleştirmelerde neredeyse görünmez hale getirdiğini ortaya koymaktadır.
Günde 1 milyondan fazla kütük katkıda bulunan kaynak ağlarını (/24 alt ağları) filtrelerken, altta yatan desenler ortaya çıkar ve son zirvelerden önce bile başlangıç aktivitesinde kalıcı bir artış gösterir.
Rapora göre, bu filtrelenmiş görünüm, geçmişte anormal yüksek hacimli günlerin ara sıra gerçekleşirken, mevcut frekans ve büyüklüğün olağanüstü olduğunu ve birbirini takip eden dönemler için günde 20 GB’tan fazla günlüğe kaydettiğini vurgulamaktadır.
Teknik olarak, bu fenomen, üst üste binen alt ağlardan otomatik tarama ile yönlendirilir ve güvenlik açığı araştırmasını veya keşiflerini gösteren belirli URL yollarını hedefler.
45.146.130.0/24 gibi alt ağlar, öncelikle kök yollarına (“/”) odaklanan bir avuç IP’den 200 milyondan fazla isabet toplarken, 179.60.146.0/24 gibi diğerleri “/api/v1/config/domines” gibi API uç noktalarına odaklanır.
Alt ağ başına benzersiz IP sayımlarındaki ve URL yollarındaki çeşitlilik, koordineli botnet benzeri işlemleri, potansiyel olarak web hizmetlerinde, alan API’lerinde ve hatta SSL VPN uç noktalarındaki yanlış yapılandırmalar için taramayı önerir.
Örneğin, sadece 2-3 yola çarpanlar gibi düşük benzersiz URL çeşitliliğine sahip alt ağlar, hedeflenen kampanyalara işaret ederken, daha geniş keşifler (örn., 80.243.171.0/24’te 18.152 benzersiz yol) fırsatçı numaralandırmayı göstermektedir.
Bu alt ağlardaki en yaygın yollar arasında 38 milyardan fazla isabet oluşturan “/” ve 33 milyar ile “/API/V1/Config/Alanı”, ardından 1.6 milyarda “/API/V1/Logon” yer alıyor.
Daha az sık görülen ancak dikkate değer olan, tarama araçlarında IP coğrafi konumlandırma veya öz tanımlama ile ilgili olabilecek “API.IPAPI.IS:443” ve “MYIP.WTF:443” gibi harici hizmetlere sorgulardır.
Ham günlüklerden toplanan bu veriler, daha agresif web tabanlı keşiflere doğru bir kaymayı, muhtemelen eşleştirilmemiş sunuculardan yararlanarak veya gelecekteki istismarlar için zeka toplayarak bir kaymayı göstermektedir.
Honeypot operatörleri için çıkarımlar
Artan günlük hacimleri, depolama taleplerini yönetmek için günde iki kez zipping gibi yüksek sıkıştırma teknikleriyle sık arşivleme de dahil olmak üzere balkospot koruyucular için proaktif önlemler gerektirir.
Potansiyel haftalık potansiyel birikimler sadece web günlükleri için 140 GB’ı aştığında, operatörler veri kaybını veya kaynak tükenmesini önlemek için yedekleme protokollerini geliştirmelidir.
Bu eğilim, güvenlik ekiplerini üretim ortamlarındaki benzer göstergeleri izlemeye çağırarak daha geniş siber tehditlere işaret edebilir.
Bu kütüklerin daha derin adli analizi, kaçınma tespiti için alt ağ tabanlı koordinasyon gibi düşman davranışlarında gelişen taktikler, teknikler ve prosedürleri (TTP’ler) ortaya çıkarabilir.
DShield Honeypots’taki bu rekor kıran etkinlik, siber güvenlik topluluğundan ilişkili riskleri azaltmak için uyarlanabilir tepkiler talep eden yeni bir kalıcı, yüksek hacimli tarama döneminin altını çiziyor.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.