Manuel Statik Analiz — Prometei Botnet | Tehdit: KRITIK

Dosya Kimliği

SHA2560edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
Boyut449.081 byte (UPX packed)
String Sayisi3.033

JSON Cleartext Konfigürasyonu

Kritik IOC: Botnet konfigürasyonu string olarak açıkça görülüyor!
{"config":1,"id":"p463k2B8F51lz1Eb","enckey":"OjBvPJkR52j4E0ljPfblHiGN1HzahRX..."}
-- config: 1 = aktif botnet config versiyonu
-- id: "p463k2B8F51lz1Eb" = BOT ID / kampanya kimliği
-- enckey: "OjBvPJkR52j4E0ljPfblHiGN1HzahRX" = şifreleme anahtarı!

Bitcoin Cüzdanları

1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV  -- Prometei Monero madencilik BTC adresi #1
1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk     -- Prometei BTC adresi #2

Prometei Hakkında

Prometei (Prometheus + botnet), 2016'dan beri aktif çok modüllü botnet ailesidir. EternalBlue (MS17-010) ve BlueKeep (CVE-2019-0708) açıklarıyla ağa yayılır. Monero kripto para madenciliği yapar. Gizli ağ altyapısı için Tor kullanır. Backdoor, keylogger ve ransomware yükleme kapasitesine sahiptir. İran kaynaklı olduğu değerlendirilmektedir.

IOC

SHA2560edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
Bot IDp463k2B8F51lz1Eb
BTC1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV
ExploitEternalBlue (MS17-010)

Prometei — Malware Profili

Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.

Malware Tipi
Botnet
Programlama Dili
C
C2 Protokolü
TCP/Tor
Hedef Sistemler
Kuresel

Yetenekler ve Davranış

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC Listesi (1 gösterge)

IOC — Prometei
# SHA256 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
TürDeğerNot
sha256 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
Etiketler
prometeibotnetjson-configcleartexteternalbluemonero-minerbtc