Manuel Statik Analiz — Phorpiex (Trik) Botnet | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | 12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Taille | 113.664 byte (küçük, hızlı yayılan botnet core) |
| String Sayisi | 758 |
Zincir İndirme C2 IP
C2 IP: 178.16.54.109 — lb10/lb11/lb12 zincir yükleme!
http://178.16.54.109/lb10.exe -- Yük 1 http://178.16.54.109/lb11.exe -- Yük 2 http://178.16.54.109/lb12 -- Yük 3 (uzantısız) -- "lb" = "load bot" veya "load binary" -- Sıralı indirme = her biri farklı payload (sextortion spam, ransomware, stealer) -- Ham IP: domain takedown dayanıklılığı
Coğrafi Konum Filtresi
ip-api.com -- GeoIP servisi sorgulama -- Ülke/bölge tespiti → hedef filtresi -- Bazı Phorpiex varyantları belirli ülkeleri atlar
Phorpiex / Trik Hakkında
Phorpiex (diğer adıyla Trik), 2016'da tespit edilen ve sextortion/spam kampanyalarıyla ünlü botnet'tir. Zirve döneminde 1.5 milyon enfekte makine barındırdı. Fidye yazılımı dağıtımı için de kullanıldı. 2021'de bazı operatörler yeraltı forumda kaynak kodu sattı.
IOC
| SHA256 | 12815f32a4ba6e89113664b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 IP | 178.16.54.109:80 |
| İndirme | /lb10.exe, /lb11.exe, /lb12 |
Phorpiex — Profil du malware
Phorpiex/Trik botnet. 178.16.54.109 C2 IP. lb10/lb11/lb12 cok asamali payload. Spam + crypto mining + clipper.
Type de malware
Botnet
Langage de programmation
C++
Protocole C2
HTTP/P2P
Systèmes ciblés
Kuresel
Capacités et comportement
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
Liste IOC (2 indicateurs)
IOC — Phorpiex
# IP
178.16.54.109
# DOMAIN
ip-api.com
| Type | Valeur | Note |
|---|---|---|
| ip | 178.16.54.109 | |
| domain | ip-api.com |
Serveurs C2 (4 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| 178.16.54.109 | ip | — | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
| 178.16.54.109 | ip | 80 | HTTP | active | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.