Manuel Statik Analiz — Prometei Botnet (Linux ELF) | Tehdit: YUKSEK

Dosya Kimliği

SHA2560edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2
FormatLinux ELF (Yürütülebilir)
Boyut449.081 byte
String Sayisi3.033

UPX Paket ve Madencilik Cüzdanları

http://upx.sf.net   -- UPX packer imzası (SourceForge URL)
-- Prometei sıkça UPX pack kullanır: analizi zorlaştırır
-- Unpack: upx -d sample.elf

BTC Madencilik:
1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV
1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
-- XMRig veya benzeri miner gömülü
-- C2'ye bağlanarak madencilik havuzu alır

POSIX Threading (Çapraz Platform)

{PTHR*_MUTEX_}   -- POSIX Thread mutex (libpthread)
-- Linux + macOS uyumlu (POSIX API)
-- Prometei aynı anda Windows + Linux hedefler
-- Windows sürümü ayrı EXE olarak dağıtılır

Prometei Hakkında

Prometei, 2020'de keşfedilen Rusya/Çin bağlantılı botnet'tir. Windows ve Linux varyantlarıyla çapraz platform çalışır. Exchange sunucu güvenlik açıklarını (ProxyLogon, EternalBlue) kullanarak yayılır. Monero madenciliği için XMRig kullanır, ek payload download capability içerir.

IOC

SHA2560edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2
BTC1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV
BTC1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
PackerUPX (SourceForge)

Prometei — Malware Profili

Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.

Malware Tipi
Botnet
Programlama Dili
C
C2 Protokolü
TCP/Tor
Hedef Sistemler
Kuresel

Yetenekler ve Davranış

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC Listesi (2 gösterge)

IOC — Prometei
# DOMAIN sf.net # MUTEX 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
TürDeğerNot
domain sf.net
mutex 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk BTC cüzdanı
Etiketler
prometeilinux-elfupx-packedbitcoin-minerposix-mutexcross-platformbotnetelf-dropper