파일 정보
| 속성 | 값 |
|---|---|
| SHA256 | 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048 |
| MD5 | cbc88849ffeab52cbd7ee94d3f562c3c |
| SHA1 | |
| 파일 이름 | file (CoinMiner, Amadey dropped) |
| 크기 | 3,743,666 bytes |
| 아키텍처 | x64 |
| 컴파일 날짜 | 알 수 없음 |
| Packer | Tespit edilmedi |
| MB 최초 발견 | 2026-06-29 |
| MB 태그 | exe, CoinMiner, 54e64e, dropped-by-amadey |
위협 프로필
패밀리: CoinMiner 분류: 높음 신뢰도: MEDIUM
Bu örnek, Amadey Loader tarafından ikinci aşamada indirilen ve çalıştırılan bir CoinMiner ailesidir. 3.7 MB'lık büyük dosya boyutu, embedded XMRig binary veya mining konfigürasyonu içerdiğine işaret etmektedir. Monero (XMR) madenciliği için CPU kaynaklarını tüketir. "54e64e" ve "dropped-by-amadey" etiketleri, bu örneğin organize bir Amadey botnet kampanyasının parçası olduğunu göstermektedir. Stratum pool adresi statik analizde tespit edilemedi — büyük ihtimalle şifreli konfigürasyon dosyasında.
탐지된 기능
- CPU Madenciliği (Monero / XMR)
- Stratum protokolü ile mining pool bağlantısı
- CPU kullanım yönetimi (tespit kaçınma)
- Persistence (autorun)
- Anti-Debug kontrolleri
Anti-Analiz Teknikleri
- CPU kullanımını ayarlayarak EDR tetikleyicilerinden kaçınma
- Anti-Debug
Kalıcılık Mekanizmaları
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Enjeksiyon Teknikleri
- Tespit edilmedi (statik analizde obfuscated)
C2 Sunucuları
IOC Listesi
| Tip | 값 |
|---|---|
| sha256 | 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048 |
| md5 | cbc88849ffeab52cbd7ee94d3f562c3c |
| domain | e.mE |
| domain | gcc.gnu.org |
| domain | pastebin.com |
| domain | T.dE |
| domain | xmr-eu2.nanopool.org |
| domain | zP.dE |
| domain | zT.dE |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
CoinMiner — 악성코드 프로필
CoinMiner kurbanin bilgisayar kaynaklarini CPU/GPU kripto para madenciligi icin kullanan malware ailesidir. Genellikle XMRig kullanir. Sahte yazilim paketleri ile yayilir.
기술 세부 정보
XMRig tabanli (C++), stratum protocol, pool mining, process priority manipulation, antivirus/firewall bypass, watchdog process, process injection (svchost)
기능 및 동작
IOC 목록 (5 개 지표)
# SHA256
5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
# MD5
cbc88849ffeab52cbd7ee94d3f562c3c
# DOMAIN
gcc.gnu.org
# DOMAIN
pastebin.com
# DOMAIN
xmr-eu2.nanopool.org
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048 | |
| md5 | cbc88849ffeab52cbd7ee94d3f562c3c | |
| domain | gcc.gnu.org | |
| domain | pastebin.com | |
| domain | xmr-eu2.nanopool.org |