Manuel Statik Analiz — Prometei Botnet | Tehdit: KRITIK
파일 Kimliği
| SHA256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |
|---|---|
| 크기 | 449.081 byte (UPX packed) |
| String Sayisi | 3.033 |
JSON Cleartext Konfigürasyonu
Kritik IOC: Botnet konfigürasyonu string olarak açıkça görülüyor!
{"config":1,"id":"p463k2B8F51lz1Eb","enckey":"OjBvPJkR52j4E0ljPfblHiGN1HzahRX..."}
-- config: 1 = aktif botnet config versiyonu
-- id: "p463k2B8F51lz1Eb" = BOT ID / kampanya kimliği
-- enckey: "OjBvPJkR52j4E0ljPfblHiGN1HzahRX" = şifreleme anahtarı!
Bitcoin Cüzdanları
1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV -- Prometei Monero madencilik BTC adresi #1 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk -- Prometei BTC adresi #2
Prometei Hakkında
Prometei (Prometheus + botnet), 2016'dan beri aktif çok modüllü botnet ailesidir. EternalBlue (MS17-010) ve BlueKeep (CVE-2019-0708) açıklarıyla ağa yayılır. Monero kripto para madenciliği yapar. Gizli ağ altyapısı için Tor kullanır. Backdoor, keylogger ve ransomware yükleme kapasitesine sahiptir. İran kaynaklı olduğu değerlendirilmektedir.
IOC
| SHA256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |
|---|---|
| Bot ID | p463k2B8F51lz1Eb |
| BTC | 1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV |
| Exploit | EternalBlue (MS17-010) |
Prometei — 악성코드 프로필
Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.
악성코드 유형
Botnet
프로그래밍 언어
C
C2 프로토콜
TCP/Tor
대상 시스템
Kuresel
기능 및 동작
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC 목록 (1 개 지표)
IOC — Prometei
# SHA256
0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |