Manuel Statik Analiz — XMRig CoinMiner ELF | Tehdit: KRITIK

Fichier Kimligi

SHA256e55ed4e871eb3ed2d086e8e30876ca9572b48ea54d413b02e62a9e9f0a8c06a
Fichier Adi_up.bin (Linux ELF)
Taille5.338.704 byte (5.3MB)
String Sayisi22.265
PlatformLinux ELF (x86_64)

Acik Metin Mining Pool -- DOGRULANMIS

KRITIK IOC: Mining pool adresleri acik metin olarak bulundu.
extranonce.su    <-- XMR mining pool
mining.su        <-- XMR mining pool
glibc.me         <-- Linux ELF kütüphane (sahte pozitif degil, suspicious domain)

Ghostrider Algoritma

ghostrider/rtm   -- Ghostrider (Raptoreum) algoritma
ghostrider       -- Ghostrider Monero mining
pool_wallet      -- Cuzdan adresi config alani

IOC

SHA256e55ed4e871eb3ed2d086e8e30876ca9572b48ea54d413b02e62a9e9f0a8c06a
Mining Poolextranonce.su
Mining Poolmining.su
AlgoritmaGhostrider (XMR/RTM)

XMRig — Profil du malware

XMRig, acik kaynakli Monero (XMR) miner aracinin kotu amacli degistirilmis surumleridir. Linux ELF ve Windows PE olarak dagitilir. Ghostrider, RandomX ve diğer algoritmalari destekler. Mining pool adreslerini cleartext icerir.

Type de malware
Coinminer
Langage de programmation
C++
Protocole C2
TCP
Systèmes ciblés
Windows/Linux

Capacités et comportement

CPU/GPU Madenciliği
Kripto Para Üretimi
Kaynak Kullanımı
Kalıcılık
Anti-Analiz
Yayılma Mekanizması

Liste IOC (3 indicateurs)

IOC — XMRig
# DOMAIN extranonce.su # DOMAIN mining.su # DOMAIN glibc.me
TypeValeurNote
domain extranonce.su
domain mining.su
domain glibc.me

Serveurs C2 (2 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
mining.su domain &mdash; TCP active &mdash;
extranonce.su domain &mdash; TCP inactive &mdash;

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
xmrigcoinminerlinux-elfextranonce-sumining-sughostridermonero