Manuel Statik Analiz — Prometei Botnet | Tehdit: KRITIK
Fichier Kimliği
| SHA256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |
|---|---|
| Taille | 449.081 byte (UPX packed) |
| String Sayisi | 3.033 |
JSON Cleartext Konfigürasyonu
Kritik IOC: Botnet konfigürasyonu string olarak açıkça görülüyor!
{"config":1,"id":"p463k2B8F51lz1Eb","enckey":"OjBvPJkR52j4E0ljPfblHiGN1HzahRX..."}
-- config: 1 = aktif botnet config versiyonu
-- id: "p463k2B8F51lz1Eb" = BOT ID / kampanya kimliği
-- enckey: "OjBvPJkR52j4E0ljPfblHiGN1HzahRX" = şifreleme anahtarı!
Bitcoin Cüzdanları
1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV -- Prometei Monero madencilik BTC adresi #1 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk -- Prometei BTC adresi #2
Prometei Hakkında
Prometei (Prometheus + botnet), 2016'dan beri aktif çok modüllü botnet ailesidir. EternalBlue (MS17-010) ve BlueKeep (CVE-2019-0708) açıklarıyla ağa yayılır. Monero kripto para madenciliği yapar. Gizli ağ altyapısı için Tor kullanır. Backdoor, keylogger ve ransomware yükleme kapasitesine sahiptir. İran kaynaklı olduğu değerlendirilmektedir.
IOC
| SHA256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |
|---|---|
| Bot ID | p463k2B8F51lz1Eb |
| BTC | 1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV |
| Exploit | EternalBlue (MS17-010) |
Prometei — Profil du malware
Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.
Type de malware
Botnet
Langage de programmation
C
Protocole C2
TCP/Tor
Systèmes ciblés
Kuresel
Capacités et comportement
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
Liste IOC (1 indicateurs)
IOC — Prometei
# SHA256
0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
| Type | Valeur | Note |
|---|---|---|
| sha256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |