Manuel Statik Analiz — Prometei Botnet | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |
|---|---|
| Boyut | 449.081 byte (UPX packed) |
| String Sayisi | 3.033 |
JSON Cleartext Konfigürasyonu
Kritik IOC: Botnet konfigürasyonu string olarak açıkça görülüyor!
{"config":1,"id":"p463k2B8F51lz1Eb","enckey":"OjBvPJkR52j4E0ljPfblHiGN1HzahRX..."}
-- config: 1 = aktif botnet config versiyonu
-- id: "p463k2B8F51lz1Eb" = BOT ID / kampanya kimliği
-- enckey: "OjBvPJkR52j4E0ljPfblHiGN1HzahRX" = şifreleme anahtarı!
Bitcoin Cüzdanları
1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV -- Prometei Monero madencilik BTC adresi #1 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk -- Prometei BTC adresi #2
Prometei Hakkında
Prometei (Prometheus + botnet), 2016'dan beri aktif çok modüllü botnet ailesidir. EternalBlue (MS17-010) ve BlueKeep (CVE-2019-0708) açıklarıyla ağa yayılır. Monero kripto para madenciliği yapar. Gizli ağ altyapısı için Tor kullanır. Backdoor, keylogger ve ransomware yükleme kapasitesine sahiptir. İran kaynaklı olduğu değerlendirilmektedir.
IOC
| SHA256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |
|---|---|
| Bot ID | p463k2B8F51lz1Eb |
| BTC | 1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV |
| Exploit | EternalBlue (MS17-010) |
Prometei — Malware Profili
Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.
Malware Tipi
Botnet
Programlama Dili
C
C2 Protokolü
TCP/Tor
Hedef Sistemler
Kuresel
Yetenekler ve Davranış
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC Listesi (1 gösterge)
IOC — Prometei
# SHA256
0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
| Tür | Değer | Not |
|---|---|---|
| sha256 | 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1 |