Manuel Statik Analiz — Prometei Botnet (Linux ELF) | Tehdit: YUKSEK
Fichier Kimliği
| SHA256 | 0edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2 |
|---|---|
| Format | Linux ELF (Yürütülebilir) |
| Taille | 449.081 byte |
| String Sayisi | 3.033 |
UPX Paket ve Madencilik Cüzdanları
http://upx.sf.net -- UPX packer imzası (SourceForge URL) -- Prometei sıkça UPX pack kullanır: analizi zorlaştırır -- Unpack: upx -d sample.elf BTC Madencilik: 1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk -- XMRig veya benzeri miner gömülü -- C2'ye bağlanarak madencilik havuzu alır
POSIX Threading (Çapraz Platform)
{PTHR*_MUTEX_} -- POSIX Thread mutex (libpthread)
-- Linux + macOS uyumlu (POSIX API)
-- Prometei aynı anda Windows + Linux hedefler
-- Windows sürümü ayrı EXE olarak dağıtılır
Prometei Hakkında
Prometei, 2020'de keşfedilen Rusya/Çin bağlantılı botnet'tir. Windows ve Linux varyantlarıyla çapraz platform çalışır. Exchange sunucu güvenlik açıklarını (ProxyLogon, EternalBlue) kullanarak yayılır. Monero madenciliği için XMRig kullanır, ek payload download capability içerir.
IOC
| SHA256 | 0edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2 |
|---|---|
| BTC | 1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV |
| BTC | 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk |
| Packer | UPX (SourceForge) |
Prometei — Profil du malware
Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.
Type de malware
Botnet
Langage de programmation
C
Protocole C2
TCP/Tor
Systèmes ciblés
Kuresel
Capacités et comportement
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
Liste IOC (2 indicateurs)
IOC — Prometei
# DOMAIN
sf.net
# MUTEX
1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
| Type | Valeur | Note |
|---|---|---|
| domain | sf.net | |
| mutex | 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk | BTC cüzdanı |