Sorun Tanımı
NetNut, dünya genelinde milyonlarca enfekte Android cihazını (akıllı TV'ler, streaming kutuları, IoT cihazları dahil) barındıran ve bunları residential proxy olarak kullanıma sunan bir proxy ağıydı. Bu ağ, siber suçlular tarafından IP adresi gizleme, botnet saldırıları, web scraping ve kötü amaçlı trafik yönlendirme gibi faaliyetlerde yaygın olarak kullanılıyordu. Haziran 2024'te Google liderliğindeki uluslararası bir operasyonla bu ağa müdahale edildi ve 2 milyondan fazla enfekte cihazın proxy hizmetinden kesilmesi sağlandı.
Etkilenen Cihazlar ve Riskler
Enfekte cihazlar arasında:
- Android tabanlı akıllı TV'ler ve streaming kutuları (Roku, Fire TV, Chromecast vb.)
- Akıllı telefonlar ve tabletler
- IoT cihazları (güvenlik kameraları, ev otomasyon sistemleri vb.)
Potansiyel riskler:
- Veri sızıntıları: Proxy ağı üzerinden geçen tüm trafik, siber suçlular tarafından izlenebiliyordu.
- Bilgi hırsızlığı: Kullanıcıların çevrimiçi faaliyetleri (şifreler, ödeme bilgileri vb.) çalınabiliyordu.
- Dağıtılmış Hizmet Reddi (DDoS) saldırıları: Enfekte cihazlar, hedef sistemlere yönelik saldırılarda kullanılabiliyordu.
- Yasal sorumluluk: Kullanıcılar, yasa dışı faaliyetlere iştirak etmiş sayılabiliyordu.
Çözüm Adımları
1. Cihazların İzole Edilmesi
NetNut proxy ağına dahil olan cihazların tespit edilmesi ve izole edilmesi gerekmektedir. Aşağıdaki adımlar izlenmelidir:
- Cihazların tespiti:
Enfekte cihazları belirlemek için aşağıdaki komutları kullanabilirsiniz:
# NetNut proxy sunucularına yapılan bağlantıları kontrol etme (Linux/Unix) ss -tulnp | grep -i "netnut" # Windows'ta NetNut trafiğini izleme netstat -ano | findstr "netnut"İpucu: Eğer cihazınızda NetNut'a ait bir süreç çalışıyorsa, bu genellikle
com.netnut.proxyveya benzeri bir adla görünür. Android cihazlardaadb logcatkomutu ile de izleme yapılabilir. - Cihazın ağdan izole edilmesi:
Enfekte cihazın yerel ağdan çıkarılması veya VLAN'lar aracılığıyla ayrılması gerekir. Aşağıdaki yöntemler kullanılabilir:
# Linux'ta cihazı ağdan çıkarma (IP bazlı) sudo iptables -A INPUT -s [ENFEKTE_CIHAZ_IP] -j DROP sudo iptables -A OUTPUT -d [ENFEKTE_CIHAZ_IP] -j DROP # Windows'ta cihazı engelleme (Windows Defender Firewall) netsh advfirewall firewall add rule name="NetNut Blok" dir=in action=block remoteip=[ENFEKTE_CIHAZ_IP]Uyarı: Cihazı ağdan çıkarırken, diğer cihazların da etkilenmemesi için dikkatli olun. Kritik sistemlerde network segmentation (ağ bölümleme) uygulayın.
- Proxy hizmetinin devre dışı bırakılması:
Enfekte cihazlarda çalışan NetNut proxy hizmetini durdurun:
# Android cihazlarda (root gerekli) adb shell su pm disable-user --user 0 com.netnut.proxy # Linux/Unix sistemlerde sudo systemctl stop netnut-proxy sudo systemctl disable netnut-proxy
2. Enfekte Cihazların Temizlenmesi
Proxy ağına dahil olan cihazların tamamen temizlenmesi gerekmektedir. Aşağıdaki adımlar izlenmelidir:
- Malware taraması:
Cihazlarda NetNut'a ait zararlı yazılımların bulunup bulunmadığını kontrol edin:
# Linux/Unix sistemlerde (ClamAV kullanarak) sudo apt install clamav clamav-daemon -y sudo freshclam sudo clamscan -r --bell -i / # Windows'ta (Windows Defender ile) C:\Program Files\Windows Defender\MpCmdRun.exe -Scan -ScanType 2İpucu: Eğer cihaz Android tabanlıysa, Malwarebytes veya Bitdefender Mobile Security gibi uygulamalar kullanın.
- Sistem geri yükleme:
Enfekte cihazları fabrika ayarlarına sıfırlama en etkili temizleme yöntemidir. Bunun için:
# Android cihazlarda Ayarlar > Sistem > Sıfırla > Tüm verileri sil # Windows'ta Ayarlar > Güncelleştirme ve Güvenlik > Kurtarma > Bu bilgisayarı sıfırlaUyarı: Sıfırlama işlemi tüm verileri silecektir. Önce önemli verileri yedekleyin.
- Güvenlik yamalarının uygulanması:
Cihazların en son güvenlik yamalarıyla güncellenmesi kritik önem taşır:
# Android cihazlarda Ayarlar > Sistem > Yazılım Güncelleme > İndir ve Yükle # Linux'ta (örneğin Ubuntu) sudo apt update && sudo apt upgrade -y # Windows'ta Ayarlar > Güncelleştirme ve Güvenlik > Windows Update > Güncellemeleri kontrol et
3. Ağ Güvenliğinin Sağlanması
NetNut proxy ağına dahil olan cihazların tekrar enfekte olmasını önlemek için ağ güvenliğinin artırılması gerekmektedir. Aşağıdaki adımlar izlenmelidir:
- Ağ segmentasyonu:
Kritik sistemleri diğer cihazlardan ayırın. Bunun için VLAN'lar veya fiziksel ayrım kullanabilirsiniz.
# Cisco yönlendiricide VLAN oluşturma interface Vlan10 name VLAN_CRITICAL ip address 192.168.10.1 255.255.255.0 no shutdown - Proxy ve VPN kullanımının denetlenmesi:
Ağınızda çalışan proxy sunucuları ve VPN hizmetlerini denetleyin. NetNut'a benzer proxy ağlarının tespiti için SIEM sistemleri (örneğin Splunk, ELK Stack) kullanın.
# NetNut'a ait IP bloklarını engelleme (Linux'ta) sudo iptables -A INPUT -s 185.143.223.0/24 -j DROP sudo iptables -A OUTPUT -d 185.143.223.0/24 -j DROP - Kullanıcı eğitimi:
Kullanıcıları güvenlik farkındalığı konusunda eğitin. NetNut gibi proxy ağlarının kötü amaçlı kullanımlarını anlatın ve güvenilir olmayan uygulamaları indirmemeleri konusunda uyarın.
İpucu: Kurumsal ortamlarda phishing saldırılarına karşı simülasyonlar düzenleyin.
Komutlar ve Araçlar
Aşağıda, NetNut proxy ağına müdahale etmek için kullanabileceğiniz komutlar ve araçlar listelenmiştir:
| İşlem | Araç/Komut | Kullanım Alanı |
|---|---|---|
| Proxy trafiği tespiti | ss -tulnp | grep -i "netnut" |
Linux/Unix sistemler |
| Windows'ta proxy tespiti | netstat -ano | findstr "netnut" |
Windows |
| Enfekte cihaz engelleme | iptables -A INPUT -s [IP] -j DROP |
Linux/Unix |
| Windows'ta engelleme | netsh advfirewall firewall add rule name="NetNut Blok" dir=in action=block remoteip=[IP] |
Windows |
| Malware taraması | clamscan -r --bell -i / |
Linux/Unix |
| Android'de proxy hizmeti durdurma | pm disable-user --user 0 com.netnut.proxy |
Android (root gerekli) |
Sıkça Sorulan Sorular (SSS)
NetNut proxy ağına dahil olup olmadığımı nasıl anlarım?
NetNut proxy ağına dahil olup olmadığınızı aşağıdaki yöntemlerle kontrol edebilirsiniz:
- Cihazınızda NetNut'a ait bir uygulama çalışıyor mu? (örneğin
com.netnut.proxy) - Bağlantı kayıtlarınızda NetNut sunucularına yapılan bağlantılar var mı? (örneğin
ss -tulnp | grep -i "netnut") - Cihazınızın performansında anormal yavaşlama veya beklenmedik veri kullanımı var mı?
NetNut proxy ağına dahil bir cihazı temizledikten sonra nelere dikkat etmeliyim?
Temizleme işleminden sonra aşağıdaki adımları izleyin:
- Tüm şifrelerinizi değiştirin (e-posta, bankacılık, sosyal medya vb.).
- Cihazınızı en son güvenlik yamalarıyla güncelleyin.
- Ağınızda başka enfekte cihazlar olup olmadığını kontrol edin.
- Güvenilir olmayan uygulamaları kaldırın ve sadece resmi uygulama mağazalarından yazılım indirin.



