CoinMiner — 딥 정적 분석 (5a69d7e5)

위협 요약
패밀리CoinMiner
위협 수준높음
PlatformC++ (XMRig tabanlı)
PackerTespit edilmedi
SHA2565a69d7e544366d516dca0903468a8c7d...
최초 발견2026-06-29
탐지 방법MalwareBazaar + Amadey Loader zinciri
신뢰도MEDIUM

파일 정보

속성
SHA2565a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
MD5cbc88849ffeab52cbd7ee94d3f562c3c
SHA1
파일 이름file (CoinMiner, Amadey dropped)
크기3,743,666 bytes
아키텍처x64
컴파일 날짜알 수 없음
PackerTespit edilmedi
MB 최초 발견2026-06-29
MB 태그exe, CoinMiner, 54e64e, dropped-by-amadey

위협 프로필

패밀리: CoinMiner   분류: 높음   신뢰도: MEDIUM

Bu örnek, Amadey Loader tarafından ikinci aşamada indirilen ve çalıştırılan bir CoinMiner ailesidir. 3.7 MB'lık büyük dosya boyutu, embedded XMRig binary veya mining konfigürasyonu içerdiğine işaret etmektedir. Monero (XMR) madenciliği için CPU kaynaklarını tüketir. "54e64e" ve "dropped-by-amadey" etiketleri, bu örneğin organize bir Amadey botnet kampanyasının parçası olduğunu göstermektedir. Stratum pool adresi statik analizde tespit edilemedi — büyük ihtimalle şifreli konfigürasyon dosyasında.

탐지된 기능

  • CPU Madenciliği (Monero / XMR)
  • Stratum protokolü ile mining pool bağlantısı
  • CPU kullanım yönetimi (tespit kaçınma)
  • Persistence (autorun)
  • Anti-Debug kontrolleri

Anti-Analiz Teknikleri

  • CPU kullanımını ayarlayarak EDR tetikleyicilerinden kaçınma
  • Anti-Debug

Kalıcılık Mekanizmaları

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

Tip
sha2565a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
md5cbc88849ffeab52cbd7ee94d3f562c3c
domaine.mE
domaingcc.gnu.org
domainpastebin.com
domainT.dE
domainxmr-eu2.nanopool.org
domainzP.dE
domainzT.dE

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

CoinMiner — 악성코드 프로필

CoinMiner kurbanin bilgisayar kaynaklarini CPU/GPU kripto para madenciligi icin kullanan malware ailesidir. Genellikle XMRig kullanir. Sahte yazilim paketleri ile yayilir.

악성코드 유형
Coinminer
프로그래밍 언어
C/C++
C2 프로토콜
TCP
대상 시스템
Küresel

기술 세부 정보

XMRig tabanli (C++), stratum protocol, pool mining, process priority manipulation, antivirus/firewall bypass, watchdog process, process injection (svchost)

기능 및 동작

CPU/GPU Madenciliği
Kripto Para Üretimi
Kaynak Kullanımı
Kalıcılık
Anti-Analiz
Yayılma Mekanizması

IOC 목록 (5 개 지표)

IOC — CoinMiner
# SHA256 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048 # MD5 cbc88849ffeab52cbd7ee94d3f562c3c # DOMAIN gcc.gnu.org # DOMAIN pastebin.com # DOMAIN xmr-eu2.nanopool.org
유형메모
sha256 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
md5 cbc88849ffeab52cbd7ee94d3f562c3c
domain gcc.gnu.org
domain pastebin.com
domain xmr-eu2.nanopool.org
태그
coinminerxmrigmonerocryptominerpeanalizstatikiocamadeydropped